Normas MICITT Matriz Guía Implementación Prácticas de Gobierno y Gestión 2021

MATRIZ GUÍA
Implementación Buenas Prácticas

Basadas en Cobit 2019
NOMBRE INSTITUCIÓN
Esta guía permite a la Institución seguir la implementación de buenas prácticas para los procesos
establecidos en el Marco Normativo de Gobierno y Gestión de las TI, basadas en el Marco de
Referencia Cobit 2019
Presionando el Código del Objetivo, puede ubicarse en la Ficha respectiva
INSTRUCTIVO
Acceso a Índice Relación Procesos de la Norma con los Objetivos de Gobierno y Gestión
Dominio - Evaluar, Dirigir y Monitorear

EDM01 Asegurar el establecimiento y el mantenimiento del marco de Gobierno
EDM02 Asegurar la obtención de beneficios
EDM03 Asegurar la optimización del riesgo
EDM04 Asegurar la optimización de los recursos
EDM05 Asegurar el compromiso de las partes interesadas
Dominio - Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de I&T
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura empresarial
APO04 Gestionar la innovación
APO05 Gestionar el portafolio
APO06 Gestionar el presupuesto y los costos
APO07 Gestionar los recursos humanos
APO08 Gestionar las relaciones
APO09 Gestionar los acuerdos de servicio
APO10 Gestionar los proveedores
APO11 Gestionar la calidad
APO12 Gestionar el riesgo
APO13 Gestionar la seguridad
APO14 Gestionar los datos
Dominio - Construir, Adquirir e Implementar
BAI01 Gestionar los programas
BAI02 Gestionar la definición de requisitos
BAI03 Gestionar la identificación y construcción de soluciones
BAI04 Gestionar la disponibilidad y capacidad
BAI05 Gestionar el cambio organizativo
BAI06 Gestionar los cambios de TI
BAI07 Gestionar la aceptación y la transición de los cambios de TI
BAI08 Gestionar el conocimiento
BAI09 Gestionar los activos
BAI10 Gestionar la configuración
BAI11 Gestionar los proyectos
Dominio - Entregar, Dar servicio y soporte
DSS01 Gestionar las operaciones
DSS02 Gestionar las peticiones y los incidentes de servicio
DSS03 Gestionar los problemas
DSS04 Gestionar la continuidad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los controles de procesos de negocio
Dominio - Monitorear, Evaluar y Valorar
MEA01 Gestionar el monitoreo del desempeño y la conformidad
MEA02 Gestionar el sistema de control interno
MEA03 Gestionar el cumplimiento delos requerimientos externos
MEA04 Gestionar el aseguramiento
MATRIZ GUÍA
Implementación Buenas Prácticas
Basadas en Cobit 2019
NOMBRE INSTITUCIÓN
A través de estos enlaces, podrá dirigirse directamente a los objetivos de gobierno y de gestión según aplique,
que aplican a cada uno de los procesos establecidos en el Marco Normativo
Instructivo
Gobernanza de TI
EDM01 Asegurar el establecimiento y el mantenimiento del marco de Gobierno
EDM05 Asegurar el compromiso de las partes interesadas
APO08 Gestionar las relaciones
Gestión de TI
APO01 Gestionar el marco de gestión de I&T
APO09 Gestionar los acuerdos de servicio
DSS02 Gestionar las peticiones y los incidentes de servicio
DSS03 Gestionar los problemas
Planificación Tecnológica Institucional
APO02 Gestionar la estrategia
EDM02 Asegurar la obtención de beneficios
APO04 Gestionar la innovación
APO05 Gestionar el portafolio
APO06 Gestionar el presupuesto y los costos
Gestión de Riesgos Tecnológicos
APO12 Gestionar el riesgo
Arquitectura Empresarial
EDM04 Asegurar la optimización de los recursos
APO14 Gestionar los datos
Calidad de los Procesos Tecnológicos
APO11 Gestionar la calidad
Recursos Humanos
APO07 Gestionar los recursos humanos
Contratación y Adquisición de Bienes y Servicios Tecnológicos
APO10 Gestionar los proveedores
Gestión de Proyectos que implementan Recursos tecnológicos
BAI01 Gestionar los programas
BAI11 Gestionar los proyectos
Desarrollo, Implementación y Mantenimiento de sistema de Información
BAI02 Gestionar la definición de requisitos
BAI03 Gestionar la identificación y construcción de soluciones
BAI04 Gestionar la disponibilidad y capacidad
BAI05 Gestionar el cambio organizativo
BAI06 Gestionar los cambios de TI
BAI07 Gestionar la aceptación y la transición de los cambios de TI
BAI08 Gestionar el conocimiento
Seguridad y Ciberseguridad
APO13 Gestionar la seguridad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los controles de procesos de negocio
Administración Infraestructura Tecnológica
BAI10 Gestionar la configuración
DSS01 Gestionar las operaciones
Continuidad y Disponibildiad Operativa de los Servicios Tecnológicos
DSS04 Gestionar la continuidad
Aseguramiento
MEA01 Gestionar el monitoreo del desempeño y la conformidad
MEA02 Gestionar el sistema de control interno
MEA03 Gestionar el cumplimiento delos requerimientos externos
MEA04 Gestionar el aseguramiento
Regresar al Inicio
Regresar al Inicio
Matriz Guía para la implementación de buenas prácticas basadas en el Marco de Referencia Cobit 2019
INSTRUCTIVO
Práctica de Gobierno (Gestión)

Implementable: Se establece si la actividad se debe implementar o si por el contrario no procede su implementación de acuerdo con el
perfil de la Institución (en las observaciones se justifica el porqué de no es necesario realizar la actividad)
Indicadores de Gestión: Todas los indicadores que permitan lograr el cumplimiento de la Práctica de Gestión o Gobierno
Fecha de conclusión de la práctica: Se completa de acuerdo con la ruta crítica de las fechas de conclusión de las actividades
Riesgo asociados: Se incluyen todos aquellos riesgos que pueden afectar el logro de la práctica de gobierno o gestión.
Prioridad de Implementación: Sugerencia del orden en el que se deben implementar los Objetivos y prácticas, estableciendo tres etapas,
para poder cumplirlas en un período máximo de dos años.
Actividades de la Práctica de Gestión

Actividad: Las actividades definidas en Cobit 2019
Implementable: Se establece si la actividad se debe implementar o si por el contrario no procede su implementación de acuerdo con el
perfil de la Institución (en las observaciones se justifica el porqué de no es necesario realizar la actividad)
Estado de implementación: Completada, en proceso, no iniciada
Porcentaje de avance (actividad): 100% concluida, % del avance cuando está en proceso, 0% en estado no iniciado
Funcionarios responsables: Nombre del funcionario y oficina donde se ubica dicho funcionario, cuando es un Comité se indica el nombre y
los funcionarios que lo conforman y las oficinas que representan
Fecha de control: Si ya terminó la actividad esta fecha es la de cierre, si esta en proceso se indica la fecha de cuando se va a concluir dicha
actividad y si no se ha iniciado se indica la fecha en la que se espera completar la actividad
Documentación de referencia: todos los documentos que respaldan el cumplimiento o avance de la actividad
Observaciones: Cualquier aspecto que facilite la comprensión del desarrollo de la actividad
Regresar a Inicio
Matriz Guía para la Implementación de Buenas prácticas Basadas en Cobit 2019

Ficha Implementación de Objetivo de Gobierno/Gestión
NOMBRE INSTITUCIÓN
Dominio: Evaluar, Dirigir y Monitorear Prioridad de Implementación: Etapa 1

Objetivo de Gobierno: EDM01 - Asegurar el establecimiento y el mantenimiento del Marco de Gobierno Implementable
Porcentaje Fecha Conclusión
Avance Implementación
Proceso relacionado del Marco Normativo: Gobernanza de TI
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Evaluar el sistema de Gobierno
Indicadores Asociados: a. Número de principios guía definidos para el gobierno y la toma de decisiones de I&T
b. Número de altos ejecutivos implicados en establecer el rumbo del gobierno para I&T
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Analizar e identificar los factores ambientales internos y

externos (obligaciones legales, regulatorias y
contractuales), así como las tendencias en el entorno de
negocio que pueden influir en el diseño del gobierno
2 Determinar la importancia de I&T y su papel con respecto

al negocio.
3 Considerar las regulaciones, leyes, y obligaciones

contractuales externas y determinar cómo deberían
aplicarse dentro del gobierno de I&T de una empresa.
4 Determinar las implicaciones de todo el entorno de control

de la empresa con respecto a I&T.
5 Alinear el uso ético y el procesamiento de la información y

su impacto en la sociedad, el entorno natural y los intereses
de los interesados internos y externos con la dirección, las
metas y los objetivos de la empresa
6 Articular los principios que guiarán el diseño del gobierno y

la toma de decisiones de I&T
7 Determinar el modelo óptimo de toma de decisiones para

I&T
8 Determinar los niveles adecuados de delegación de

autoridad, incluidas las reglas de limitaciones, para las
decisiones de I&T.
Práctica de Gobierno (gestión): 02 - Dirigir el sistema de Gobierno
Indicadores Asociados: a. Grado en el cual los principios de gobierno de I&T acordados son evidentes en procesos y prácticas (porcentaje de procesos y prácticas que se
atribuyen a los principios)
b. Frecuencia de presentación de informes del gobierno de I&T al comité ejecutivo y el consejo de administración
c. Número de roles, responsabilidades y autoridades para el gobierno de I&T que son definidos, asignados y aceptados por los directivos de negocio e
I&T correspondientes.
a. Grado en el cual los principios de gobierno de I&T acordados son evidentes en procesos y prácticas (porcentaje de procesos y prácticas que se
atribuyen a los principios)
b. Frecuencia de presentación de informes del gobierno de I&T al comité ejecutivo y el consejo de administración
c. Número de roles, responsabilidades y autoridades para el gobierno de I&T que son definidos, asignados y aceptados por los directivos de negocio e
I&T correspondientes.
Fecha Estado Porcentaje Fecha de

Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
1 Comunicar el gobierno de los principios de I&T y acordar

con la administración
2 Establecer o delegar elejecutiva la formade
establecimiento deestructuras,
establecer un
liderazgo
procesos yinformado y comprometido
prácticas de gobierno en línea con los principios
de diseño acordados
3 Establecer un consejo de administración de gobierno de
I&T (o equivalente)
4 Asignar a nivel del
la responsabilidad, consejoyde
autoridad administración.
rendición de
Este consejo de decisiones
administración debería garantizar que el
5 cuentas
Asegurarpor
gobierno que
de
las
lalos mecanismos
información
de I&T
y la
en línea
detecnología, con los
comunicación como
principios
y parte del
de diseño de gobierno, de proporcionan
los modelos de toma de
6 presentación
Direccionar
gobierno de al
decisionesayloslade informes
personal
empresa, para
de responsables se que
aborda
delegación acordados siga
delas la información
directrices
forma adecuada;
adecuada
relevantes en de la supervisión y toma de
7 Direccionar
decisiones el cuanto
aconsejar sobre al comportamiento
la dirección
establecimiento estratégica a ético
de un sistema dey profesional
seguir; y
ydeterminar
asegurar que
recompensas se conozcan
la para
priorización
fomentar deyellos
secambio
apliquen
programas lasde
cultural consecuencias
inversión
deseado
del incumplimiento
habilitados por I&T en línea con la estrategia y prioridades
del negocio de la empresa
Práctica de Gobierno (gestión): 03 - Monitorear el sistema de gobierno
Indicadores Asociados: a. Ciclo de vida real vs. objetivo para decisiones clave
b. Frecuencia de revisiones independientes del gobierno de I&T
c. Nivel de satisfacción de la parte interesada (medido a partir de encuestas)
d. Número de problemas de gobierno de I&T comunicados
Fecha
Implementación Avance Control
Implementación
1 Evaluar la eficacia y el rendimiento de aquellas partes
2 interesadas a las que
Evaluar de forma se le ha
periódica delegado
si los la responsabilidad
mecanismos y
de I&T que se
autoridad
han acordadopara(estructuras,
el gobierno institucional de I&T etc.) se
3 Evaluar la eficacia del diseñoprincipios, procesos,
de gobierno e identificar
han establecido
acciones para y operan
rectificar de forma eficiente que se
cualquier
4 Mantener la supervisión de hasta desviación
qué punto la I&T
encuentrelas obligaciones (regulación, legislación, leyes
satisface
5 Proporcionar la supervisión de la eficacia del sistema de
comunes,decontractuales), y elpolíticas internas,
conestándares y
6 control
Monitorizar lalos
empresa
mecanismos
guías profesionales
cumplimiento el mismo
regulares y rutinarios para
garantizar que el uso de I&T cumpla con las obligaciones
(regulación, legislación, leyes comunes, contractuales),
estándares y guías
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gobierno: EDM02 - Asegurar la Obtención de Beneficios Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Planificación Tecnológica Institucional
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Establecer el objetivo de la combinación en la inversión
Indicadores Asociados: a. Porcentaje de inversiones de I&T que se atribuyen a la estrategia empresarial

b. Porcentaje de inversiones de I&T basadas en el costo, la alineación con la estrategia, y las medidas financieras (p. ej., el costo y el ROI durante todo el ciclo de vida económico), el grado de riesgo y el tipo de
beneficio para los programas del portafolio.

Implementación
1 Crear y mantener portafolios de programas de inversión
2 habilitados
Obtiene un por I&T, servicios
conocimiento y activos
común entredeTI TI, que forman
y otras funcionesla
base para el presupuesto actual de TI y respaldan los que
planes
3 empresariales
Identificar las sobre las posibles
categorías
tácticos yy contribuya
estratégicosa de generales
I&T.
oportunidades
de sistemas para
de TI
habilite
información, aplicaciones,la estrategia
datos,en empresarial.
servicios
4 Acordar las metas de I&T, tener cuenta de las TI,
infraestructura,
interrelaciones activos
entre de I&T, recursos,
lainversión
estrategia habilidades,
de la institución y los
5 Definir unacontroles
prácticas, mezcla de
y relaciones que
de TIlogre el equilibrio
necesarias para
servicios de
adecuado I&T,distintas
entre activos ydimensiones,
otros recursos. Identificar
incluido un y
respaldar la las
aprovechar estrategia
sinergias empresaria
que pueden lograrse.
equilibrio adecuado de resultados a corto y largo plazo,
beneficios financieros y no financieros e inversiones de alto
Práctica
y bajo de Gobierno (gestión):
riesgo. 02 - Evaluar la optimización del valor
Indicadores Asociados: a. Desviación entre la combinación de inversión objetivo y real

b. Porcentaje de portafolio de inversiones habilitadas por I&T con el fin de determinar la probabilidad de alcanzar los objetivos de la institución y proporcionar un valor a un costo razonable
Fecha
Estado Porcentaje Fecha de
1 Conocer los requisitos de las partes interesadas; los

problemas
2 Conocer losestratégicos
elementos clave de I&T;deasí como lapara
gobierno dependencia
ofrecer deen
I&T;
forma y la percepción
confiable, y capacidades
segura y económica deun
tecnología con
valor óptimo
3 Entender
respecto y la
a discutir regularmente
importancia real y las oportunidades
potencial de I&T para que
la
procedente
podrían surgirdelpara
uso ladeinstitución
servicios, activos y recursos de I&T
4 actuales
Conocer que constituye valor para la institucióncambios
estrategiaylonuevos
empresarial. derivadas de los y
habilitados lo
considerar por las que
bien tecnologías
se actuales,
comunica, nuevas
conoce y o en
aplica
5 Evaluar
emergentes, la eficacia con la el
y optimizar que las estrategias
valor empresariales
creado a partir de esas y
todos
de I&Tlosseyprocesos
han de la yempresa.
integrado alineado dentro de la institución
6 Conocer
oportunidades. considerar la eficacia de los roles,
yresponsabilidades,
con los objetivos de la institución
rendición para
de cuentas entregar
y órganos valor.
7 Considere lo bien que está alineada la gestión de lasde toma
de decisionesservicios
inversiones, actualesy aactivos
la horadedeI&Tasegurar
con la la creación
gestión de
de para
8 valor
Evaluar el portafolio
aempresarial
partir de lasy las de inversiones,
inversiones, servicios
servicios y activos
y activos de I&T
valor
su alineación prácticasestratégicos
con los objetivos de gestión financiera
de la empresa;
el valor de la empresa, tanto financiera como no financiera;
el riesgo, tanto el riesgo de entrega como el riesgo de
Práctica de Gobierno
beneficios; (gestión):
el alineamiento del proceso de negocio; la 03 - Dirigir la optimización del valor
eficacia en términos de usabilidad, disponibilidad y
capacidad de
Indicadores Asociados: respuesta; y la eficiencia en cuanto a costos, a. Porcentaje de iniciativas de I&T en el portafolio general donde el valor se administra durante todo el ciclo de vida
redundancia y salud técnica b. Porcentaje de iniciativas de I&T que usan principios y prácticas de gestión de valor
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir y comunicar los tipos, categorías, criterios y peso
relativo al criterio de portafolio e inversiones que permitan
puntajes de valor relativo total.
2 Definir los requisitos para los cambios de fase (stage-gate) y

otras revisiones para ver el peso de la inversión para la
institución y el riesgo asociado, las planificaciones del
programa, los planes de financiación y la entrega de
capacidades y beneficios y contribución continua al
valor.
3 Dirigir a la gestión para que considere los potenciales usos

innovadores de I&T que permiten a la institución responder
a nuevas oportunidades y retos, emprender nuevos
negocios, aumentar la competitividad o mejorar los
procesos.
4 Dirigir cualquier cambio requerido en la asignación de

rendición de cuentas y responsabilidades para ejecutar el
portafolio de inversiones y entrega de valor por parte de
los procesos y servicios empresariales.
5 Dirigir cualquier cambio requerido al portafolio de

inversiones y servicios para realinearse con los objetivos
y/o limitaciones empresariales actuales y esperadas
6 Recomendar la consideración de innovaciones, cambios

organizativos o mejoras operativas posibles que podrían
generar un mayor valor para la institución a partir de
iniciativas de I&T.
7 Definir y comunicar las metas y medidas de resultados de la

entrega de valor a nivel de institución para permitir una
supervisión eficaz
Práctica de Gobierno (gestión): 04 - Monitorear la optimización del valor
Indicadores Asociados: a. Número de nuevas oportunidades institucionales logradas como resultado directo de los desarrollos de I&T
b. Porcentaje de objetivos empresariales estratégicos obtenidos como resultado de iniciativas estratégicas de I&T
c. Nivel de satisfacción de la dirección ejecutiva con el costo y la entrega de valor de I&T
d. Nivel de satisfacción de las partes interesadas con el avance hacia las metas identificadas (entrega de valor basada en encuestas).
e. Nivel de satisfacción de las partes interesadas con la capacidad de la institución para obtener valor de las iniciativas habilitadas por I&T
f. Número de incidentes que tienen lugar debido a la evasión actual o intentada de los principios y prácticas de gestión de valor establecidos
g. Porcentaje logrado del valor esperado

Implementación
1 Definir un conjunto equilibrado de objetivos, métricas,
metas y benchmarks. Las métricas deberían cubrir
mediciones de actividad y resultados, incluyendo
indicadores de avance y de retraso, así como un equilibrio
adecuado entre mediciones financieras y no financieras.
Revisar y acordar con TI y otras funciones de la empresa,
así como con otras partes interesadas relevantes
2 Recopilar datos relevantes, oportunos, completos, creíbles

y precisos para informar sobre el progreso a la hora de la
entrega de valor en comparación con los objetivos. Obtener
una vista resumen general de 360º del rendimiento del
portafolio , programa y de I&T (capacidades técnicas y
operativas) que respalden la toma de decisiones. Asegurar
el logro de los resultados esperados.
3 Obtener informes regulares y relevantes de rendimiento

del portafolio , programa y de I&T (tecnológicos y
funcionales). Revisar el progreso de la empresa a la hora de
identificar metas y el grado de realización de los objetivos
planificados, los entregables obtenidos, los objetivos de
desempeño alcanzados y el riesgo mitigado.
4 Una vez revisados los informes, asegurar que se ha iniciado

y controlado acciones correctivas al área de gestión
pertinente
5 Una vez revisados los informes, llevar a cabo la acción de

gestión adecuada para asegurar la optimización del valor
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gobierno: EDM03 - Asegurar la Optimización del Riesgo Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados: Gestión de Riesgos
Práctica de Gobierno (gestión): 1 - Evaluar la gestión de riesgos
Indicadores Asociados: a. Nivel de impacto institucional inesperado

b. Porcentaje de riesgo de I&T que excede la tolerancia al riesgo de la empresa
c. Frecuencia de actualización de la evaluación del factor de riesgo
Fecha
Implementación
1 Conocer la organización y su contexto en relación al riesgo
de I&T
2 Determinar el apetito al riesgo de la organización, es decir,
el nivel de riesgo relacionado con I&T que la instituciónestá
dispuesta a tomar en la búsqueda de sus objetivos
institucionales.
3 Determinar los niveles de tolerancia al riesgo frente al

apetito al riesgo, es decir, las desviaciones aceptables
temporalmente del apetito al riesgo
4 Determinar el grado de alineamiento de la estrategia de

riesgos en I&T de la institucióncon la estrategia de riesgos
de la instituciónen su conjunto y garantizar que el apetito al
riesgo se sitúe por debajo de la capacidad de riesgo de la
organización.
5 Evaluar los factores de riesgo de I&T de forma proactiva

antes de tomar decisiones estratégicas a nivel de
institucióny garantizar que las consideraciones del riesgo
formen parte del proceso de decisión estratégico de la
empresa
6 Evaluar las actividades de gestión de riesgos para asegurar

que se alineen con la capacidad de la instituciónpara las
pérdidas relacionadas con I&T y la tolerancia
correspondiente por parte de la dirección.
7 Atraer y conservar las habilidades y el personal necesarios

para la gestión de riesgos de las I&T
Práctica de Gobierno (gestión): 02 - Dirigir la gestión de riesgos
Indicadores Asociados: a. Nivel de alineamiento entre el riesgo de I&T y el riesgo institucional

b. Porcentaje de proyectos de la instituciónque consideran el riesgo de I&T
Fecha
Implementación
1 Dirigir la traducción e integración de la estrategia de riesgo
de I&T en las prácticas de gestión de riesgos y las
actividades operativas.
2 Dirigir el desarrollo de planes de comunicación de riesgos

(que se extiendan a todos los niveles de la empresa).
3 Dirigir la implementación de los mecanismos adecuados

para responder de forma rápida al cambio de riesgos e
informar inmediatamente a los cargos de dirección
correspondientes, siguiendo los principios de escalamiento
(qué comunicar, cuándo, dónde y cómo).
4 Ordenar que el riesgo, oportunidades, problemas o

preocupaciones puedan identificarse y comunicarse por
cualquier persona a la parte correspondiente en cualquier
momento. El riesgo debe gestionarse conforme a las
políticas y procedimientos publicados y comunicados a los
responsables de la toma de decisiones.
5 Identificar las metas y métricas claves de los procesos de

gobierno y gestión de riesgos que deben monitorearse, y
aprobar las estrategias, métodos, técnicas y procesos para
capturar y comunicar la información de las mediciones.
Práctica de Gobierno (gestión): 03 - Monitorear la gestión de riesgos
Indicadores Asociados: a. Número de áreas potenciales de riesgo de I&T identificadas y gestionadas

b. Porcentaje de riesgo crítico que ha sido mitigado efectivamente
c. Porcentaje de planes de acción de riesgo de I&T ejecutados a tiempo
Fecha
Implementación
1 Comunicar cualquier problema de gestión de riesgos al
consejo de administración o comité ejecutivo.
2 Supervisar hasta qué punto se gestiona el perfil de riesgo
dentro de los umbrales de tolerancia y apetito de riesgo de
la empresa.
3 Monitorear las metas y métricas de los procesos de
gobierno y gestión de riesgos contra los objetivos, analizar
la causa de las posibles desviaciones, y poner en marcha las
acciones remediales para solucionar las causas
subyacentes.
4 Facilitar la revisión por parte de las partes interesadas clave

del progreso de la institucióncon respecto a las metas
identificadas
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gobierno: EDM04 - Asegurar la optimización de los recursos Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Arquitectura Empresarial
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Evaluar la gestión de recursos

Indicadores Asociados: a. Número de desviaciones del plan de recursos
b. Porcentaje de estrategias del plan de recursos y arquitectura empresarial que proporciona valor y mitiga el riesgo con recursos asignados
Fecha
1 Partiendo de las estrategias actuales y futuras, examinar las

posibles opciones para proporcionar recursos relacionados
con I&T (recursos tecnológicos, financieros y humanos), y
desarrollar capacidades para hacer frente a las necesidades
actuales y futuras (incluidas opciones de abastecimiento).
2 Definir los principios fundamentales de la asignación y

gestión de recursos y capacidades, de forma que I&T puede
satisfacer las necesidades de la institución conforme a las
prioridades acordadas y los límites presupuestarios. Por
ejemplo, definir opciones preferidas de abastecimiento
definidas para determinados servicios y los límites
presupuestarios por opción de abastecimiento.
3 Revisar y aprobar las estrategias del plan de recursos y de

la arquitectura empresarial para proporcionar valor y
mitigar el riesgo con los recursos asignados.
4 Entender los requisitos para el alineamiento de la gestión

de recursos de I&T con la planificación de recursos
humanos (RR. HH.) y financieros de la empresa.
5 Definir los principios para la gestión y el control de la

arquitectura empresarial
Práctica de Gobierno (gestión): 02 - Dirigir la gestión de recursos
Indicadores Asociados: a. Número de desviaciones de, y excepciones con respecto a los principios de gestión de recursos
b. Porcentaje de reutilización de componentes de la arquitectura
Implementación
1 Asignar responsabilidades para la ejecución de la gestión de
recursos
2 Establecer los principios relacionados con la protección de
los recursos
3 Comunicar y dirigir la adopción de estrategias de gestión de
recursos, principios y del plan de recursos y arquitectura
empresarial acordados.
4 Alinear la gestión de recursos con la planificación financiera

y de RR. HH. de la empresa
5 Definir las metas, mediciones y métricas clave para la
gestión de recursos
Práctica de Gobierno (gestión): 03 - Monitorear la gestión de recursos
Indicadores Asociados: a. Nivel de retroalimentación de las partes interesadas sobre la optimización de recursos
b. Número de beneficios (como ahorro de costes) logrados a través de la utilización óptima de los recursos
c. Número de objetivos de rendimiento en gestión de recursos logrados
d. Porcentaje de proyectos y programas con un estatus de medio o alto riesgo debido a problemas de gestión de recursos
e. Porcentaje de proyectos con asignaciones de recursos adecuadas

1 Supervisar la asignación y optimización de recursos

conforme a los objetivos y prioridades de la
instituciónusando metas y métricas acordadas.
2 Supervisar las estrategias de abastecimiento de I&T, las

estrategias de arquitectura empresarial y las capacidades y
recursos empresariales y de TI para garantizar que se
puedan satisfacer las necesidades y objetivos actuales y
futuros de la empresa.
3 monitorear el rendimiento de los recursos en relación a los

objetivos, analizar la causa de las posibles desviaciones, y
poner en marcha las acciones remediales para solucionar
las causas subyacentes.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gobierno: EDM05 - Asegurar el compromiso de las partes interesadas Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Evaluar el compromiso y los requisitos de reportes de las partes interesadas
Indicadores Asociados: a. Fecha de la última revisión de los requisitos de informes

b. Porcentaje de partes interesadas incluidas en los requisitos de informes

Implementación
1 Identificar todas las partes interesadas de I&T relevantes
dentro y fuera de la empresa. Agrupar a las partes
interesadas en categorías de partes interesadas con
requisitos similares.
2 Examinar y juzgar los requisitos de informes obligatorios

actuales y futuros relacionados con el uso de I&T dentro de
la institución(regulación, legislación, leyes comunes,
contractuales), incluidos su alcance y frecuencia.
3 Examinar y juzgar los requisitos de comunicación e

informes actuales y futuros para otras partes interesadas
relacionados con el uso de I&T dentro de la empresa,
incluidos el nivel requerido de participación/consulta y el
alcance de la comunicación/nivel de detalle y condiciones.
4 Mantener los principios para la comunicación con partes

interesadas externas e internas, incluidos formatos y
canales de comunicación, así como la aceptación y firma de
informes de las partes interesadas.
Práctica de Gobierno (gestión): 02 - Dirigir el compromiso, la comunicación y reporte de las partes interesadas
Indicadores Asociados: a. Número de brechas de los requisitos de informes obligatorios

b. Satisfacción de las partes interesadas con la comunicación y elaboración de informes
Fecha
1 Dirigir el establecimiento de la estrategia de consulta y
comunicación para las partes interesadas externas e
internas
2 Identificar todas las partes interesadas de I&T relevantes

dentro y fuera de la institución. Agrupar a las partes
interesadas en categorías de partes interesadas con
requisitos similares.
3 Establecer mecanismos para la validación y aprobación de

la elaboración de informes obligatorios
4 Establecer los mecanismos de escalamiento de los informes
Práctica de Gobierno (gestión): 03 - Monitorear el compromiso de las partes interesadas
Indicadores Asociados: a. Nivel de participación de las partes interesadas en I&T de la institución.

b. Porcentaje de informes que contienen imprecisiones
c. Porcentaje de informes entregados a tiempo

Implementación
1 Evaluar periódicamente la eficiencia de los mecanismos
para garantizar la precisión y confiabilidad de informes
obligatorios
2 Evaluar de forma periódica la efectividad de los

mecanismos para, y los resultados de, la participación y
comunicación con partes interesadas internas y externas.
3 Determinar si se cumplen con los requisitos de las distintas

partes interesadas y evaluar los niveles de participación de
las partes interesadas
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Alinear, Planificar y Organizar Prioridad de Implementación: Etapa 1

Objetivo de Gestión: APO01 -Gestionar el marco de gestión de I&T Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Gestión de TI
Riesgos Asociados:
Práctica de Gobierno (gestión): 01.Diseñar el sistema de gestión para la I&T de la institución.
Indicadores Asociados: a. Número de aprobaciones formales por estructuras de gobierno aplicable de los objetivos prioritarios para el sistema de gestión de I&T
b. Porcentaje de los componentes de gobierno integrados y alineados con el gobierno, filosofía de gestión y estilo operativo de la institución.
Fecha
Implementación
1 Adquirir el conocimiento de la visión, dirección y estrategia
institucional, así como el contexto institucional actual y sus
desafíos.
2 Considerar el entorno interno de la institución., incluyendo

la cultura y filosofía de gestión, la tolerancia al riesgo, la
política de seguridad y privacidad, los valores éticos, el
código de conducta, la rendición de cuentas y los requisitos
para la integridad de la gestión.
3 Aplicar la cascada de metas y los factores de diseño de

COBIT a la estrategia y el contexto institucional para decidir
cuáles son las prioridades para el sistema de gestión y, por
ende, la implementación de los objetivos de gestión
prioritarios.
4 Validar las prioridades seleccionadas para la

implementación de objetivos de gestión con buenas
prácticas o requisitos propios de la industria (p. ej.:
regulaciones específicas de la industria) y con estructuras
de gobierno adecuadas.
Práctica de Gobierno (gestión): APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.
Indicadores Asociados: a. Frecuencia de comunicación de los objetivos y dirección de gestión para I&T
b. Asignación de responsabilidad para el envío de comunicaciones regulares
Fecha
Implementación
1 Proporcionar los recursos capacitados suficientes para
respaldar el proceso de comunicación.
2 Definir las reglas básicas de comunicación, identificando las
necesidades de comunicación e implementando planes
basados en dichas necesidades, considerando la
comunicación ascendente, descendente y horizontal.
3 Comunicar continuamente los objetivos y la dirección de las

I&T. Asegurar que las comunicaciones vengan respaldadas
por las acciones y las palabras de la dirección ejecutiva,
usando todos los canales disponibles.
4 Asegurar que la información comunicada incluya una clara

misión articulada, objetivos de servicio, controles internos,
calidad, código ético/conducta, políticas y procedimientos,
roles y responsabilidades, etc. Comunicar la información
con el nivel de detalle adecuado a las audiencias
respectivas dentro de la institución.
Práctica de Gobierno (gestión): 03 Gestionar la implementación de procesos (para respaldar la consecución de objetivos de gobierno y gestión).
Indicadores Asociados: a. Número de procesos prioritarios que deben implementarse o mejorarse para cumplir con el nivel de capacidad objetivo
b. Número de métricas definidas para el seguimiento de la implementación satisfactoria del proceso
Fecha
1 Desarrollar el modelo de procesos objetivo de gobierno de

I&T específico para la organización, basándose en la
selección de los objetivos de gestión prioritarios (salido del
ejercicio de cascada de metas y factores de diseño).
2 Analizar la brecha entre el modelo de proceso objetivo para

la organización y las prácticas y actividades actuales.
3. Hacer el borrador de una hoja de ruta para la

implementación de prácticas y actividades de proceso
faltante. Usar métricas de práctica para hacer el
seguimiento de una implementación satisfactoria
Práctica de Gobierno (gestión): 04 Definir e implementar las estructuras organizativas.

Indicadores Asociados: a. Nivel de satisfacción ejecutiva con la toma de decisiones de gestión
b. Número de decisiones que no se pudieron resolver dentro de las estructuras de gestión y fueron escaladas a estructuras de gobierno
Fecha
Implementación
1 Identificar las decisiones requeridas para la consecución de
resultados institución.riales y la estrategia de I&T y para la
gestión y ejecución de los servicios de I&T.
2 Involucrar a las partes interesadas críticas con la toma de

decisiones (quien rinde cuentas, responsable, consultado o
informado).
3. Definir el alcance, foco, mandato y responsabilidades de

cada función dentro de la organización de I&T, en línea con
la dirección de gobierno.
4 Definir el alcance de las funciones internas y externas, los

roles internos y externos, y las capacidades y derechos de
decisión requeridas para cubrir todas las prácticas, incluidas
aquellas ejecutadas por terceros.
5 Alinear la organización relacionada con I&T con los modelos

organizativos de arquitectura de la institución..
6 Establecer un comité de dirección de I&T (o equivalente)

compuesto por directores ejecutivos, de negocio y de I&T
para hacer un seguimiento del estado de los proyectos,
resolver los conflictos de recursos y monitorizar los niveles
y mejoras del servicio.
7. Proporcionar las directrices para cada estructura de gestión

(incluidas el mandato, objetivos, asistentes a reuniones,
plazos, seguimiento, supervisión y control), así como los
insumos requeridos y los resultados esperados de las
reuniones.
8 Comprobar de forma regular la adecuación y eficacia de las

estructuras organizativas.
Práctica de Gobierno (gestión): 05 Establecer roles y responsabilidades

Indicadores Asociados: a. Número de roles de I&T asignados a individuos
b. Número de descripciones de roles completos
Fecha
Implementación
1 Establecer, acordar y comunicar los roles y
responsabilidades relacionadas con I&T a todo el personal
de la institución., de acuerdo con las necesidades y
objetivos de la institución. Delinear claramente las
responsabilidades y la rendición de cuentas, especialmente
para la toma de decisiones y aprobaciones.
2 Considerar los requisitos para la continuidad del negocio y

del servicio de I&T al definir los roles, incluyendo los
requisitos de personal de respaldo y entrenamiento
cruzado.
3. Proporcionar información al proceso de continuidad de
servicios de I&T, manteniendo la información de contacto y
las descripciones de roles de la institución. actualizados.
4 Incluir requisitos específicos en las descripciones de roles y

responsabilidades relativos al cumplimiento de las políticas
y procedimientos de gestión, el código ético y las prácticas
profesionales.
5 Asegurar que se defina la rendición de cuentas a través de

roles y responsabilidades.
6 Estructurar roles y responsabilidades para reducir la
posibilidad de que un único rol comprometa un proceso
crítico.
7. Implementar las prácticas de supervisión adecuadas para

asegurar que los roles y responsabilidades se ejerzan
adecuadamente, para asegurar que todo el personal tiene
la autoridad y recursos suficientes para ejecutar sus roles y
responsabilidades, y de forma general, para revisar el
rendimiento. El nivel de supervisión debe alinearse con la
sensibilidad del puesto y la extensión de las
responsabilidades asignadas.
Práctica de Gobierno (gestión): 06 Optimizar la ubicación de la función de TI.

Indicadores Asociados: a. Número de partes interesadas claves que han aprobado el establecimiento de la función de TI
b. Porcentaje de partes interesadas con una opinión favorable del establecimiento de la función de TI
Fecha
1 Entender el contexto del establecimiento de la función de Implementación Implementación Avance Control
TI, incluida la evaluación de la estrategia institución.rial y el
modelo operativo (centralizado, federado, descentralizado,
híbrido), la importancia de las I&T y la situación y opciones
de abastecimiento.
2 Identificar, evaluar y priorizar las opciones para los modelos

de ubicación, abastecimiento y operaciones de la
organización.
3. Definir el establecimiento de la función de TI y lograr un

acuerdo.
Práctica de Gobierno (gestión): APO01.07 Definir la propiedad de la información (datos) y del sistema de información.
Indicadores Asociados: a. Porcentaje de activos de datos con Dueños claramente definidos
b. Porcentaje de sistemas de información con Dueños claramente definidos
c. Porcentaje de elementos de información clasificados conforme a los niveles de clasificación acordados
Fecha
1 Proporcionar las directrices para garantizar la clasificación
adecuada y consistente de los elementos de información
en toda la institución.
2 Crear y mantener un inventario de información (sistemas y
datos) que incluyan una lista de Dueños, custodios y
clasificaciones. Incluir sistemas que sean externalizados y
aquellos cuya propiedad debería estar dentro de la
institución..
3. Evaluar y distinguir entre datos, información y sistemas

críticos (de alto valor) y no críticos. Asegurar la protección
adecuada para cada categoría.
Práctica de Gobierno (gestión): 08 Definir las habilidades y competencias objetivo.

Indicadores Asociados: a. Número de personas que han asistido a sesiones de formación o concienciación para habilidades seleccionadas, competencias y comportamientos
deseados
b. Porcentaje de personas con las habilidades y competencias requeridas alineados con objetivos de gestión específicos
Fecha
1 Identificar las habilidades y competencias requeridas para Implementación
lograr objetivos de gestión específicos.
2 Analizar la brecha entre las habilidades y capacidades
objetivas de la institución. y las habilidades actuales del
personal. (Consulte APO07 - Gestionar los recursos
humanos para el desarrollo de habilidades y las prácticas
de gestión )
Práctica de Gobierno (gestión): 09 Definir y comunicar políticas y procedimientos.

Indicadores Asociados: a. Porcentaje de políticas y procedimientos activos , que están documentados y actualizados
b. Número de miembros del personal conocedores y capaces de demostrar su competencia con respecto a políticas y procedimientos
Fecha
1 Crear una serie de políticas para mejorar las expectativas Implementación
de control de IT en temas clave relevantes, como la calidad,
la seguridad, la privacidad, los controles internos, el uso de
activos de I&T, la ética y los derechos de propiedad
intelectual.
2 El despliegue y refuerzo de las políticas de I&T de forma

uniforme para todo el personal relevante para que se
construyan dentro de las operaciones institución.riales y
acaben siendo parte integrante de estas.
3. Evaluar y actualizar las políticas, como mínimo anualmente,

para encajar en entornos institución.riales u operativos
cambiantes.
Práctica de Gobierno (gestión): 10 Definir e implementar la infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión.
Indicadores Asociados: a. Número de herramientas seleccionadas para respaldar procesos prioritarios
b. Adecuación/cobertura de las herramientas de procesos de I&T claves
c. Satisfacción de los destinatarios con la precisión, integridad y puntualidad de la información
d. Porcentaje de satisfacción de las partes interesadas con las herramientas seleccionadas para respaldar sus necesidades
1 Identificar objetivos de gestión prioritarios que podrían Implementación
lograrse mediante la automatización de servicios,
aplicaciones o infraestructura.
2 Seleccionar e implementar las herramientas más adecuadas

comunicarlo a las partes interesadas.
3. Proporcionar formación en herramientas específicas,
conforme se requiera.
Práctica de Gobierno (gestión): 11 Gestionar la mejora continua del sistema de gestión de I&T.
Indicadores Asociados: a. Fecha de las últimas actualizaciones al marco y a los componentes
b. Número de exposiciones a pérdidas relacionadas con las I&T debidas a insuficiencias en el diseño del entorno de control
1 Evaluar de forma regular el rendimiento de los Implementación
componentes del marco y llevar a cabo las acciones
correspondientes.
2 Identificar los procesos críticos para el negocio basado en

los motivadores de rendimiento y conformidad y el riesgo
relacionado. Evaluar la capacidad e identificar los objetivos
de mejora. Analizar las brechas de capacidad y control.
Identificar opciones para mejorar o rediseñar el
proceso.
3. Priorizar iniciativas para mejoras basadas en los posibles

beneficios y costes. Implementar las mejoras acordadas,
actuar conforme a la práctica normal del negocio, y
establecer metas y métricas de rendimiento que permitan
monitorizar las mejoras.
4. Considerar la manera de mejorar la eficiencia y la eficacia

(p. ej.: a través de la formación, documentación,
estandarización y/o automatización de procesos).
5. Aplicar prácticas de gestión de la calidad para actualizar el

proceso.
6. Eliminar componentes de gobierno desactualizados
(procesos, elemento de información, políticas, etc.).
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO02 — Gestionar la estrategia Porcentaje Fecha Conclusión
Implementable Avance Implementación
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Comprender el contexto y la dirección de la empresa.

Indicadores Asociados: a. Nivel de conocimiento dentro de la dirección de I&T de la organización y contexto institucionales actuales
b. Nivel of conocimiento dentro de la dirección de I&T de las metas y dirección institucionales
c. Nivel de conocimiento de las partes interesadas claves sobre I&T y sus requisitos específicos
Fecha
Implementación
1 Comprender el contexto y la dirección de la institución.
2 Desarrollar y mantener un conocimiento de la forma actual
de trabajo, incluido el entorno en el que opera, la
arquitectura institucional (dominios del negocio, la
información, los datos, las aplicaciones y la tecnología), la
cultura de la institución y los retos actuales.
3 Desarrollar y mantener un conocimiento de la dirección

futura de la empresa, incluidas la estrategia, metas y
objetivos institucionales.
Conocer el nivel de ambición de la institución en términos
de digitalización, lo cual puede incluir aspirar a alcanzar una
serie de metas , desde recorte de gastos, aumento a
centrarse en el cliente, o una comercialización más rápida
mediante la digitalización de las operaciones internas, para
crear nuevos flujos de ingresos procedentes de nuevos
modelos de negocio (como el negocio de plataformas).
4 Identificar a partes interesadas clave y obtener información

sobre sus requisitos.
Práctica de Gobierno (gestión): 02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa.
Indicadores Asociados: a. Porcentaje de personal satisfecho con sus capacidades actuales

b. Porcentaje de satisfacción del Dueño de negocio con la inversión y la utilización de la base de activos interna y
externa para cumplir con factores críticos de éxito
Fecha
Implementación
1 Desarrollar y mantener un conocimiento de la dirección
futura de la institución, incluidas la estrategia, metas y
objetivos institucionales.
Conocer el nivel de ambición de la institución en términos
de digitalización, lo cual puede incluir aspirar a alcanzar una
serie de metas , desde recorte de gastos, aumento a
centrarse en el cliente, o una comercialización más rápida
mediante la digitalización de las operaciones internas, para
crear nuevos flujos de ingresos procedentes de nuevos
modelos de negocio (como el negocio de plataformas).
2 Evaluar la madurez digital en distintas dimensiones (p. ej.,

la capacidad de liderazgo para aprovechar la tecnología, el
nivel de riesgo tecnológico aceptado, la estrategia de
innovación, la cultura y el nivel de conocimiento de los
usuarios). Evaluar el apetito por el cambio.
Práctica de Gobierno (gestión): 03 Definir las capacidades digitales objetivo
Indicadores Asociados: a. Número de procesos prioritarios que deben implementarse o mejorarse para cumplir con el nivel de capacidad objetivo
b. Porcentaje de objetivos de I&T que apoyan la estrategia institucional
Fecha
Implementación
1 Resumir el contexto y la dirección de la institución e
identificar aspectos de I&T específicos de la estrategia
institucional (como procesos de digitalización,
implementación de nueva tecnología, soporte de la
arquitectura legacy, aplicación de nuevos modelos de
negocio digital, desarrollo de portafolio de producto
digitales, etc.).
2 Definir objetivos y metas de I&T de alto nivel y especificar

su contribución a los objetivos institucionales.
3 Detallar los servicios y productos de I&T requeridos para

lograr los objetivos institucionales. Considerar ideas sobre
tecnologías emergentes o innovación validadas, estándares
de referencia, capacidades institucionales y de I&T de los
competidores, benchmarks comparativos de buenas
prácticas y provisión de servicios de I&T emergentes.
4 Determinar las estrategias en cuanto a capacidades,
metodologías y enfoques organizativos de I&T requeridas
para lograr el portafolio definido de productos y servicios
de I&T. Considerar distintas metodologías de desarrollo
(Agile, Scrum, Waterfall, Bimodal IT), dependiendo de los
requisitos del negocio. Considerar como cada uno de ellos
puede contribuir a lograr los objetivos de I&T.
Práctica de Gobierno (gestión): 04 Llevar a cabo un análisis de brecha

Indicadores Asociados: a. Número de cambios de gran impacto requeridos en los distintos dominios de la arquitectura institucional
b. Número de brechas significativas entre el entorno actual y las buenas prácticas
Fecha
Implementación
1 Identificar todas las brechas y cambios requeridos para
lograr el entorno objetivo.
2 Describir los cambios de alto nivel en la arquitectura
institucional (dominios del negocio, la información, los
datos, las aplicaciones y la tecnología).
3 Considerar las implicaciones de alto nivel de todas las

brechas. Evaluar el impacto de los posibles cambios en los
modelos operativos de I&T y institucional, las capacidades
de investigación y desarrollo de I&T y los programas de
inversión en I&T.
4 Considerar el valor de los posibles cambios en las

capacidades de I&T y del negocio, los servicios y la
arquitectura institucional de TI y las implicaciones de no
lograr ningún cambio.
5 Perfeccionar la definición del entorno objetivo y preparar

una declaración de valor que destaque los beneficios del
entorno objetivo.
Práctica de Gobierno (gestión): 05 Definir el plan estratégico y el mapa de ruta.

Indicadores Asociados: a. Nivel de apoyo de las partes interesadas al plan de transformación digital
b. Porcentaje de iniciativas en la estrategia de I&T que se autofinancian (con beneficios financieros que exceden los costos)
c. Grado de correspondencia entre la estrategia institucional y la estrategia y objetivos de I&T
Fecha
Implementación
1 Definir las iniciativas requeridas para eliminar las brechas
entre los entornos actual y el objetivo. Integrar las
iniciativas en una estrategia de I&T coherente que alinee a
la I&T con todas las facetas institucionales.
2 Detallar una hoja de ruta que defina los pasos
incrementales requeridos para lograr las metas y objetivos
de la estrategia de I&T. Garantizar
que se incluyan acciones para formar al personal en nuevas
habilidades, apoyar la adopción de nueva tecnología,
mantener el cambio en toda
la organización, etc.
3 Considerar el ecosistema externo (socios institucionales,

proveedores, startups, etc.) para que contribuya a apoyar
la ejecución de la hoja de ruta
4 Agrupar las acciones en programas y/o proyectos con una

meta o entregable claros. Identificar para cada proyecto los
requisitos de recursos de alto nivel, la programación de
actividades, el presupuesto para la inversión/operativo, el
riesgo, el impacto del cambio, etc.
5 Determinar las dependencias, solapamientos, sinergias e

impactos entre proyectos, y priorizar.
6 Finalizar la hoja de ruta, indicando una programación
relativa de actividades y las interdependencias entre
proyectos.
7 Garantizar el foco en la ruta de transformación. Designar a

un campeón de transformación y alineamiento digital entre
la institución y la I&T (el director de tecnologías digitales
(CDO) u otro rol tradicional directivo).
8 Obtener el apoyo y aprobación formal del plan de las

partes interesadas.
9 Trasladar los objetivos a resultados medibles representados
por métricas (qué) y objetivos (cuánto). Asegurar que los
resultados y medidas se correspondan con los beneficios
institucionales.
Práctica de Gobierno (gestión): 06 Comunicar la dirección y estrategia de I&T.

Indicadores Asociados: a. Frecuencia de actualizaciones del plan de comunicación de la estrategia de I&T
b. Porcentaje de partes interesadas conocedoras de la dirección y estrategia de I&T
Fecha
Implementación
1 Desarrollar un plan de comunicación que cubra los
mensajes, el público objetivo, los mecanismos/canales de
comunicación y la programación de actividades requeridas.
2 Preparar un paquete de comunicación que presente el plan

de forma eficaz usando los medios de comunicación y
tecnologías disponibles.
3 Desarrollar y mantener una red para promocionar, apoyar e
impulsar la estrategia de I&T.
4 Obtener retroalimentación y actualizar el plan de
comunicación y su presentación como corresponda
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO03 — Gestionar la Arquitectura Empresarial Implementable
Proceso relacionado del Marco Normativo:
Arquitectura Empresarial
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Desarrollar la visión de la arquitectura empresarial
Indicadores Asociados: a. Nivel de retroalimentación de los clientes sobre la arquitectura

b. Grado en el que las arquitecturas base y objetivo cubren los dominios del negocio, la información, los datos, la aplicación y la tecnología.
Fecha
Implementación
1 Identificar a las partes interesadas clave y sus
preocupaciones/objetivos. Definir los requisitos clave de la
institución que deben abordarse, así como las
visualizaciones de la arquitectura que deben desarrollarse
para satisfacer los requisitos de las partes interesadas.
2 Identificar las metas y motivadores estratégicos de la

empresa. Definir las limitaciones que deben abordarse,
incluidas las limitaciones de la institución en su conjunto y
las específicas de los proyectos (como plazos, programación
de actividades, recursos, etc.).
3. Alinear los objetivos de la arquitectura con las prioridades

del programa estratégico.
4 Entender las capacidades y metas institucionales, e
identificar a continuación opciones para conseguir dichas
metas.
5 Evaluar la preparación de la institución para el cambio.

6. Definir el alcance de la arquitectura de referencia y la
arquitectura objetiva. Enumerar elementos que están
dentro del alcance y aquellos que no lo están. (La
arquitectura de referencia y objetiva no debe describirse
con el mismo nivel de detalle.)
7. Entender las metas y objetivos estratégicos institucionales

actuales. Trabajar con el proceso de planificación
estratégico para garantizar que se aprovechen las
oportunidades de la arquitectura empresarial de I&T para
el desarrollo del plan estratégico.
8. Basándose en las preocupaciones de las partes interesadas,
los requisitos de las capacidades institucionales, el alcance,
restricciones y principios crear la visión de la arquitectura
(es decir, la vista de alto nivel de las arquitecturas de
referencia y objetiva).
9. Confirmar y elaborar los principios de arquitectura,

incluyendo los principios institucionales. Asegurar que
todas las definiciones existentes estén actualizadas. Aclarar
cualquier aspecto ambiguo.
10. Identificar el riesgo al cambio institucional asociado con la

visión de la arquitectura. Evaluar el nivel inicial de riesgo
(como crítico, marginal o insignificante). Desarrollar una
estrategia de mitigación para cada riesgo significativo.
11. Desarrollar un caso de negocio de concepto de arquitectura

empresarial y diseñar planes y la declaración del trabajo de
la arquitectura.
Asegurar la aprobación para iniciar un proyecto alineado e
integrado con la estrategia empresarial.
12 Definir las propuestas de valor, metas y métricas de la

arquitectura objetivo.
Práctica de Gobierno (gestión): 02: Definir la arquitectura de referencia.
Indicadores Asociados: a. Fecha de la última actualización de las arquitecturas de dominio y/o federadas
b. Número de excepciones a los estándares y referencias de la arquitectura solicitadas y concedidas
Fecha
Implementación
1 Mantener un repositorio de arquitectura, que contiene
estándares, componentes reutilizables, los artefactos de
modelado, las relaciones, las dependencias y las
visualizaciones, para permitir la uniformidad de la
organización y mantenimiento de la arquitectura.
2 Seleccionar puntos de vista de referencia del repositorio de

la arquitectura que permite al arquitecto demostrar cómo
se abordan las preocupaciones de las partes interesadas en
la arquitectura.
3. Seleccionar modelos necesarios para respaldar la vista

específica requerida, para cada punto de vista. Usar las
herramientas y métodos seleccionados y el nivel de
descomposición adecuado.
4 Desarrollar las descripciones de dominio arquitectónico de
referencia, usando el alcance y nivel de detalle necesario
para respaldar la arquitectura objetivo y, hasta donde sea
posible, identificando los bloques de construcción
relevantes de la arquitectura del repositorio de
arquitectura.
5. Mantener un modelo de arquitectura de procesos, como

parte de las descripciones de dominios de referencia y
objetivo. Normalizar las descripciones y documentación de
procesos. Definir los roles y responsabilidades de los
responsables de la toma de decisiones del proceso,
el Dueño del proceso, los usuarios del proceso, el equipo
del proceso y otras partes interesadas del proceso que
deberían involucrarse.
6 Mantener un modelo de arquitectura de la información

como parte de las descripciones de los dominios de
referencia y objetivo, consistente con la estrategia
institucional para adquirir, almacenar y usar los datos de
forma óptima para respaldar la toma de decisiones.
7 Comprobar la consistencia y precisión interna de los

modelos de arquitectura. Realizar un análisis de brecha
entre la referencia y el objetivo. Priorizar las brechas y
definir componentes nuevos o modificados que deben
desarrollarse para la arquitectura objetivo. Resolver
incompatibilidades, inconsistencias o conflictos dentro de
la arquitectura objetivo.
8 Conducir una revisión formal de las partes interesadas,

comparando la arquitectura propuesta con la intención
original del proyecto de la arquitectura y la declaración del
trabajo de arquitectura.
9. Finalizar las arquitecturas de los dominios del negocio, la

información, los datos, las aplicaciones y la tecnología.
Crear un documento de definición de la arquitectura.
Práctica de Gobierno (gestión): 03 Seleccionar oportunidades y soluciones.
Indicadores Asociados: a. Número de brechas identificadas en los modelos institucionales de los dominios de arquitectura del negocio, la información, los datos, la aplicación y
la tecnología
b. Porcentaje de partes interesadas clave del negocio y de TI para evaluar la disposición de transformación de la institución, e identificar oportunidades,
soluciones y todas las restricciones de implementación
Fecha
Implementación
1 Determinar y confirmar atributos de cambios
institucionales clave. Considerar la cultura de la institución,
el impacto potencial de la cultura en la
implementación de la arquitectura y las capacidades de
transición de la institución.
2 Identificar cualquier factor institucional que limitaría la

secuencia de implementación. Incluir una revisión
institucional y de línea estratégica de negocio de la
institución y de los planes de negocio, . Considerar la
madurez de la arquitectura institucional actual.
3. Revisar y consolidar los resultados del análisis de recha

entre las arquitecturas de referencia y la objetivo. Evaluar
las implicaciones con respecto a posibles soluciones,
oportunidades, interdependencias y alineamiento con los
programas actuales habilitados por I&T.
4. Evaluar los requisitos, brechas, soluciones y otros factores

para identificar un conjunto mínimo de requisitos
funcionales cuya integración en paquetes de trabajo
llevarían a una implementación más eficaz y eficiente de la
arquitectura objetivo.
5. Conciliar los requisitos consolidados con posibles

soluciones.
6. Perfeccionar las dependencias iniciales e identificar las
restricciones de los planes de implementación y migración.
Compilar un informe de análisis de dependencias.
7. Confirmar la disposición de la institución a la

transformación institucional y el riesgo asociado a ella.
8. Formular una estrategia de alto nivel para la
implementación y la migración. Implementar la
arquitectura objetivo (e implementar cualquier
arquitectura de transición) conforme a la estrategia,
objetivos y plazos de la institución en su conjunto.
9. Identificar y agrupar paquetes de trabajo importantes en

un conjunto coherente de programas y proyectos,
relacionados con la dirección y el enfoque de la
implementación estratégica institucional.
10. Desarrolla arquitecturas de transición en las que el alcance

del cambio requerido por la arquitectura necesita un
enfoque incremental.
Práctica de Gobierno (gestión): 04 Definir la implementación de la arquitectura.

Indicadores Asociados: a. Definición clara de los requisitos de gobierno para la implementación de la arquitectura
b. Porcentaje de partes interesadas conocedoras de la implementación y migración de la arquitectura
Fecha
Implementación
1 Establecer los elementos requeridos para el plan de
implementación y migración como parte de la planificación
de programas y proyectos.
Asegurar que el plan está alineado con los requisitos de los
responsables de toma de decisiones relevantes.
2 Confirmar los incrementos y las fases de la arquitectura de

transición. Actualizar el documento de definición de la
arquitectura
3. Definir y completar la implementación de la arquitectura y

el plan de migración, incluidos los requisitos de gobierno
relevantes. Integrar el plan, actividades y dependencias en
el programa y la planificación del proyecto.
4. Comunicar la hoja de ruta de la arquitectura definida a las

partes interesadas relevantes. Informar a las partes
interesadas acerca de la definición de la arquitectura
objetivo, las directrices y principios de arquitectura, el
portafolio de servicios, etc.
Práctica de Gobierno (gestión): 05 Proporcionar servicios de arquitectura empresarial
Indicadores Asociados: a. Nivel de retroalimentación del cliente sobre los servicios de arquitectura
b. Porcentaje de proyectos que utilizan el marco y la metodología para reutilizar componentes definidos
c. Porcentaje de proyectos que utilizan servicios de arquitectura empresarial
d. Los beneficios del proyecto obtenidos que pueden atribuirse a la participación de la arquitectura (p. ej., reducción de costes mediante la reutilización)
Fecha
Implementación
1 Confirmar el alcance y las prioridades y proporcionar
directrices para desarrollar e implementar soluciones (p.
ej., usando la arquitectura orientada a los servicios).
2 Gestionar los requisitos de la arquitectura empresarial y

respaldar el negocio y TI con consejos e información
experta sobre principios, modelos y bloques de
construcción. Garantizar que las nuevas implementaciones
(como cambios a la arquitectura actual) están alineadas
con los principios y requisitos de la arquitectura
empresarial.
3. Gestionar el portafolio de servicios de la arquitectura

empresarial y garantizar el alineamiento con los objetivos
estratégicos y el desarrollo
de soluciones.
4 Identificar las prioridades de la arquitectura empresarial.
Alinear las prioridades con los factores que proporcionan
valor. Definir y recopilar
métricas de valor y medir y comunicar el valor de la
arquitectura empresarial.
5 Establecer un foro de tecnología para proporcionar

directrices de arquitectura, asesorar proyectos y guiar la
selección de tecnología. Medir el
cumplimiento con los estándares y directrices, incluido el
cumplimiento con los requisitos externos y con la
relevancia empresarial interna.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO04 — Gestionar la innovación Implementable Porcentaje Fecha Conclusión
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Crear un entorno favorable que conduzca a la innovación.
Indicadores Asociados: a. Percepciones y retroalimentación de las partes interesadas de la empresa respecto a la innovación en I&T
b. Inclusión de objetivos relacionados con la innovación o tecnología emergente en los objetivos de rendimiento para el personal relevante
Fecha
1 Crear un plan de innovación que incluya el apetito al riesgo,

un presupuesto propuesto para iniciativas de innovación y
objetivos de innovación.
2 Proporcionar una infraestructura que pueda ser un

componente de gobierno para la innovación (como
herramientas de colaboración para mejorar el trabajo entre
sitios geográficos y/o divisiones).
3. Mantener un personal que gracias a programas presente

ideas innovadoras y cree una estructura de toma de
decisiones adecuada para evaluar las ideas y sacarlas
adelante.
4 Fomentar las ideas innovadoras de los clientes,

proveedores y socios empresariales.
Práctica de Gobierno (gestión): 02 Mantener un entendimiento del entorno de la empresa
Indicadores Asociados: a. Porcentaje de iniciativas implementadas con un claro vínculo a un objetivo empresarial
b. Porcentaje de oportunidades habilitadas por nuevas tecnologías identificadas
Fecha
Implementación
1 Mantener un conocimiento de los motivadores
empresariales y de industria, la estrategia empresarial y de
I&T y las operaciones empresariales y retos
actuales. Aplicar el entendimiento para identificar posibles
tecnologías de valor agregado e innovar en I&T
2 Conducir reuniones regulares con unidades de negocio,

divisiones y/u otras partes interesadas para entender los
problemas empresariales actuales, los cuellos de botella de
los procesos y otras limitaciones, cuando las tecnologías
emergentes o la innovación de I&T pueden crear
oportunidades.
3. Entender los parámetros de inversión empresariales para la

innovación y nuevas tecnologías con el fin de desarrollar
tecnologías adecuadas.
Práctica de Gobierno (gestión): 03 Monitorizar explorar el entorno tecnológico.

Indicadores Asociados: a. Frecuencia de la investigación y exploración del entorno realizadas para identificar ideas y tendencias innovadoras
b. Porcentaje de partes interesadas satisfechas con los esfuerzos para monitorizar el mercado, el entorno competitivo, los sectores de la industria y las tendencias legales y regulatorias para poder analizar
las tecnologías emergentes o las ideas de innovación en el contexto empresarial.
Fecha
Implementación
1 Entender el apetito y potencial de la empresa en cuanto a
innovación tecnológica. Centrar los esfuerzos de
concienciación en las innovaciones tecnológicas más
oportunas.
2 Establecer un proceso de vigilancia tecnológica e investigar

y explorar el entorno externo, incluidos sitios webs, revistas
y conferencias adecuadas, para identificar las tecnologías
emergentes y su valor potencial para la empresa.
3. Consultar a terceros expertos conforme sea necesario para

confirmar la investigación o suministrar información sobre
tecnologías emergentes.
4. Captar las ideas innovadoras del personal de I&T y revisar

su posible implementación.
Práctica de Gobierno (gestión): 04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación.
Indicadores Asociados: a. Porcentaje de iniciativas implementadas que logran los beneficios previstos
b. Porcentaje de iniciativas de pruebas de concepto exitosas para poner a prueba tecnologías emergentes u otras ideas de innovación

Implementación
1 Evaluar las tecnologías identificadas, considerando
aspectos como el tiempo para alcanzar la madurez, el
riesgo inherente (incluidas las posibles implicaciones
legales), su encaje con la arquitectura empresarial y el
potencial de valor, en línea con la estrategia empresarial y
de I&T.
2 Identificar asuntos que pudieran ser resueltos o validado a

través de una iniciativa de prueba de concepto.
3. Alcance de la iniciativa de prueba de concepto, incluidos los
resultados deseados, el presupuesto requerido, los plazos y
las responsabilidades.
4. Obtener la aprobación para la iniciativa de prueba de

concepto.
5. Conducir iniciativas de prueba de concepto para poner a
prueba tecnologías emergentes u otras ideas de
innovación. Identificar problemas y determinar si la
implementación o despliegue debería considerarse basada
en la factibilidad y el ROI potencial.
Práctica de Gobierno (gestión): 05 Recomendar iniciativas adicionales apropiadas .

Indicadores Asociados: a. Número de iniciativas de prueba de concepto evaluadas y aprobadas para su posterior implementación
b. Número de iniciativas de prueba de concepto que han sido apalancadas con la inversión real.

1 Documentar los resultados de la prueba de concepto,

incluidas directrices y recomendaciones de tendencias y
programas de innovación
2 Comunicar oportunidades de innovación viables en la

estrategia de I&T y los procesos de arquitectura
empresarial.
3. Analizar y comunicar las razones de iniciativas de pruebas

de concepto rechazadas.
4 Hacer un seguimiento de las iniciativas de prueba de
concepto para medir la inversión real.
Práctica de Gobierno (gestión): 06 Supervisar la implementación y el uso de la innovación

Indicadores Asociados: a. Aumentar la cuota de mercado o competitividad debido a innovaciones
b. Número de lecciones aprendidas y oportunidades de mejora captadas para su uso futuro
Fecha
1 Captar las lecciones aprendidas y las oportunidades de
mejora.
2 Garantizar que las iniciativas de innovación estén alineadas
con la estrategia empresarial y de I&T. Monitorizar
continuamente el alineamiento. Ajustar el plan de
innovación, si fuera necesario.
3. Evaluar nueva tecnología o innovaciones de I&T

implementadas como parte de la estrategia de I&T y el
desarrollo de la arquitectura empresarial. Evaluar el nivel
de adopción durante la gestión de iniciativas del programa.
4 Identificar y evaluar el valor potencial de la innovación.

Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: Gestión Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: APO05 — Gestionar el portafolio
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Determinar la disponibilidad y las fuentes de fondos.
Indicadores Asociados: a. Proporción entre los fondos asignados y los fondos utilizados
b. Proporción entre los ingresos retenidos y los fondos asignados
Fecha
Implementación
1 Entender la disponibilidad y el compromiso actual de
fondos, el gasto real aprobado y el gasto real hasta la fecha.
2 Identificar opciones de financiación adicional para

inversiones facilitadas por I&T, considerando fuentes
internas y externas.
3. Determinar las implicaciones de las fuentes de financiación

en las expectativas de retorno de inversión.
Práctica de Gobierno (gestión): 02 Evaluar y seleccionar programas para financiar.
Indicadores Asociados: a. Porcentaje de proyectos en el portafolio de proyectos de I&T que pueden atribuirse directamente a la estrategia de I&T
b. Porcentaje de unidades de negocio involucradas en el proceso de evaluación y priorización

Implementación
1 Identificar y clasificar las oportunidades de inversión en
línea con las categorías del portafolio de inversiones.
Concretar el/los resultado(s) empresariales esperados, las
iniciativas requeridas para lograr el/los resultado(s)
esperados, los costes de alto nivel, las dependencias y el
riesgo. Concretar la metodología para medir los resultados,
el coste y el riesgo.
2 Realizar una evaluación detallada de todos los casos de
negocio del programa. Evaluar el alineamiento estratégico,
el beneficio empresarial, el riesgo y la disponibilidad de
recursos.
3. Evaluar el impacto de añadir posibles programas al

conjunto del portafolio de inversiones, incluidos cambios
que pudieran ser requeridos por
otros programas.
4 Decidir qué programas candidatos deberían trasladarse al

portafolio de inversiones activas. Decidir si los programas
rechazados deberían conservarse para su consideración
futura o dotarse de financiación inicial para determinar si el
caso de negocio puede mejorarse o
descartarse.
5. Determinar los hitos requeridos para cada ciclo de vida

económico completo del programa seleccionado. Asignar y
reservar la financiación total de programa total por hito.
Trasladar el programa al portafolio activo de inversión.
6. Establecer procedimientos para comunicar el coste, el

beneficio y aspectos de portafolios relacionados con los
riesgos, para su consideración en la priorización del
presupuesto, la gestión de costes y los procesos de gestión
de beneficios.
Práctica de Gobierno (gestión): 03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión.
Indicadores Asociados: a. Tendencias en ROI de las iniciativas incluidas en la estrategia de I&T

b. Nivel de satisfacción con los informes de monitorización del portafolio.
c. Porcentaje de programas alineados con los requisitos de negocio de la empresa
Fecha
Implementación
1 Revisar regularmente el portafolio para identificar y
explotar sinergias, eliminar la duplicación entre programas,
e identificar y mitigar el
riesgo.
2 Cuando se producen los cambios, reevaluar y repriorizar el

portafolio para garantizar el alineamiento con la estrategia
empresarial y de I&T. Mantener la combinación de
inversiones objetivo para que el portafolio optimice el valor
total. Los programas podrían cambiar, postergarse o
retirarse, y nuevos programas podrían iniciarse, para
reequilibrar y optimizar el portafolio.
3. Ajustar los objetivos de la empresa, las estimaciones, los
presupuesto y, de ser necesario, el grado de monitorización
para reflejar los gastos y beneficios empresariales
atribuibles a programas del portafolio de inversiones
activas. Cargar los gastos del programa. Establecer
procesos presupuestarios flexibles para que proyectos
prometedores consigan los recursos para escalar
rápidamente.
4 Desarrollar métricas para medir la contribución de I&T a la

empresa. Establecer objetivos de rendimiento adecuado
que reflejen los objetivos requeridos de capacidad
empresarial y de I&T. Usar los consejos de expertos
externos y realizar benchmark de datos para desarrollar
métricas.
5. Proporcionar una vista exacta del rendimiento del

portafolio de inversión a todas las partes interesadas.
6. Proporcionar informes para revisión de los altos directivos
sobre el progreso de la empresa hacia los objetivos
identificados, que incluyan que debe aún gastarse y lograr
en los plazos dados.
7. En la monitorización regular del rendimiento , incluir

información sobre el grado de consecución de los objetivos
planificados, el riesgo mitigado, las capacidades creadas,
los entregables obtenidos y los objetivos de desempeño
alcanzados.
8. Identificar desviaciones del presupuesto vs. gasto real y ROI

esperado de inversiones.
Práctica de Gobierno (gestión): 04 Mantener los portafolios.
Indicadores Asociados: a. Números de programas y proyectos finalizados

b. Tiempo transcurrido desde la última actualización del portafolio de servicios
Fecha
Implementación
1 Crear y mantener portafolios de programas de inversión
habilitados por I&T, servicios prestados por I&T y activos de
I&T, que forman la base para el presupuesto de I&T actual
y respaldan los planes tácticos y estratégicos de I&T.
2 Trabajar con gestores de servicios para conservar el

portafolio de servicios. Trabajar con gestores de
operaciones, gestores de producto y arquitectos para
conservar los portafolios de activos. Priorizar los portafolios
para respaldar las decisiones de inversión.
3. Retirar un programa del portafolio de inversiones activas
cuando los beneficios empresariales deseados se han
alcanzado o cuando está claro que los beneficios no se
alcanzarán dentro de los criterios de valor establecidos
para el programa.
Práctica de Gobierno (gestión): 05 Gestionar el logro de beneficios.
Indicadores Asociados: a. Porcentaje de cambios del programa de inversiones reflejados en los portafolios relevantes de I&T.
b. Porcentaje de partes interesadas satisfechas con los esfuerzos para monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados,
basándose en el caso de negocio acordado y vigente.

Implementación
1 Usar las métricas acordadas y hacer un seguimiento de
cómo se alcanzan los beneficios, cómo evolucionan a lo
largo del ciclo de vida de programas y proyectos, cómo se
obtienen de productos y servicios de I&T, y cómo se
comparan con benchmarks internos y de la industria.
Comunicar resultados a las partes interesadas
2 Implementar la acción correctiva cuando los beneficios

logrados se desvían significativamente de los beneficios
esperados. Actualizar el caso de negocio para nuevas
iniciativas e implementar procesos de negocio y mejoras de
servicio, conforme sean necesarias.
3. Considerar la obtención de ayuda de expertos externos,

líderes de la industria y datos de benchmarking
comparativos para poner a prueba y mejorar las métricas y
objetivos.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO06 — Gestionar el presupuesto y los costes Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Gestión financiera y contable.
Indicadores Asociados: a. Número de desviaciones entre las categorías presupuestarias esperadas y reales.
b. Utilidad de la información financiera como información para casos de negocio para nuevas inversiones en activos y servicios de I&T.

Implementación
1 Definir procesos, entradas, salidas y responsabilidades para
la gestión y contabilidad financiera de I&T en línea con el
presupuesto y las políticas y estrategia de contabilidad de
costes de la empresa. Definir cómo analizar e informar (a
quién y cómo) sobre el proceso de control presupuestario
de I&T.
2 Definir un esquema de clasificación para identificar todos

los elementos de costes relacionados con la I&T (gastos de
capital [capex] vs. gastos operativos [opex], hardware,
software, personas, etc.). Identificar cómo se captan.
3. Utilidad de la información financiera a fin de proporcionar

información en casos de negocio para nuevas inversiones
en activos y servicios de I&T.
4 Garantizar que los costes se mantengan en los portafolios

de activos y servicios de I&T.
Práctica de Gobierno (gestión): 01 Gestión financiera y contable.
Indicadores Asociados: a. Número de desviaciones entre las categorías presupuestarias esperadas y reales
b. Utilidad de la información financiera como información para casos de negocio para nuevas inversiones en activos y servicios de I&T
Fecha
Implementación
1 Definir procesos, entradas, salidas y responsabilidades para
la gestión y contabilidad financiera de I&T en línea con el
presupuesto y las políticas y estrategia de contabilidad de
costes de la empresa. Definir cómo analizar e informar (a
quién y cómo) sobre el proceso de control presupuestario
de I&T.
2 Definir un esquema de clasificación para identificar todos

los elementos de costes relacionados con la I&T (gastos de
capital [capex] vs. gastos operativos [opex], hardware,
software, personas, etc.). Identificar cómo se captan.
3. Utilidad de la información financiera a fin de proporcionar

información en casos de negocio para nuevas inversiones
en activos y servicios de I&T.
4. Garantizar que los costes se mantengan en los portafolios

de activos y servicios de I&T.
5. Establecer y mantener prácticas para la planificación
financiera y la optimización de costes operativos
recurrentes a fin de obtener el máximo valor para la
empresa con el mínimo gasto.
Práctica de Gobierno (gestión): 02 Establecer prioridades para la asignación de recursos
Indicadores Asociados: a. Número de problemas de asignación de recursos escalados

b. Porcentaje de alineamiento de recursos de I&T con iniciativas de alta prioridad
Fecha
Implementación
1 Clasificar todas las iniciativas y solicitudes de presupuesto
de I&T con base en los casos de negocio y las prioridades
estratégicas y tácticas. Establecer procedimientos para
determinar la asignación de presupuesto y los puntos de
corte.
2 Asignar recursos empresariales y de TI (incluidos

proveedores de servicios externos) dentro de las
asignaciones presupuestarias de alto nivel para programas,
servicios y activos relacionados con I&T. Considerar las
opciones para la compra o desarrollo de activos y servicios
capitalizados frente a activos y servicios utilizados
externamente con base en el pago por uso.
3. Establecer un procedimiento para comunicar las decisiones

presupuestarias y revisarlas con los responsables de
presupuesto de las unidades de negocio.
4. Identificar, comunicar y resolver los impactos significativos
de las decisiones presupuestarias en los casos de negocio,
portafolios y planes estratégicos. (Por ejemplo, esto podría
incluir las situaciones donde los presupuestos deben
revisarse debido al cambio de las circunstancias
empresariales o cuando éstas no son suficientes para
respaldar los objetivos estratégicos u objetivos del caso de
negocio).
5. Obtener la ratificación del comité ejecutivo para las

implicaciones presupuestarias de I&T que tengan un
impacto negativo en los planes estratégicos o tácticos de la
entidad. Sugerir acciones para resolver estos impactos.
Práctica de Gobierno (gestión): 03 Crear y mantener presupuestos.
Indicadores Asociados: a. Número de cambios presupuestarios debido a omisiones y errores.

b. Utilidad del presupuesto de I&T a la hora de identificar todos los costes de I&T esperados de los programas, servicios y activos habilitados por I&T.
Fecha
1 Implementar un presupuesto de I&T formal, incluidos todos

los costes de I&T esperados de los programas, servicios y
activos habilitados por I&T.
2 A la hora de crear el presupuesto, considerar los

componentes siguientes: alineamiento con el negocio;
alineamiento con la estrategia de abastecimiento; fuentes
de financiación autorizadas; costes de recursos internos,
incluido el personal, activos de información y garantías;
costes de terceros, incluidos los contratos de
externalización, consultores y proveedores de servicios;
gastos de capital y operativos; y elementos de coste que
dependen de la carga de trabajo.
3. Documentar las razones que justifican las contingencias y

revisarlas de forma regular.
4. Instruir a los dueños del proceso, servicio y programa, así
como a los gestores de proyecto y activos, para planificar
los presupuestos.
5. Revisar los planes presupuestarios y tomar decisiones sobre

las asignaciones de presupuesto. Recopilar y ajustar el
presupuesto con base en los cambios de las necesidades de
la empresa y consideraciones financieras.
6. Registrar, mantener y comunicar el presupuesto de I&T
actual, incluidos los gastos comprometidos y los gastos
actuales, mediante la consideración de los proyectos de I&T
registrados en los portafolios de inversión habilitadas por
I&T y el funcionamiento y mantenimiento de los
portafolios de activos y servicios.
7. Monitorizar la efectividad de los distintos aspectos del

presupuesto.
8. Usar los resultados monitorizados para implementar
mejoras y asegurar que los presupuestos futuros sean más
precisos, confiables y rentables.
Práctica de Gobierno (gestión): 04 Modelar y asignar los costes.

Indicadores Asociados: a. Porcentaje de costes generales de I&T que se asignan de acuerdo con los modelos de costes acordados
b. Número de revisiones y benchmarks del modelo de costes/devoluciones y su adecuación para las cambiantes actividades empresariales y de I&T
Fecha
1 Decidir un modelo de asignación de costes que permita una

asignación justa, transparente, repetible y comparable de
costes relacionados con I&T a los usuarios. Un ejemplo de
modelo de asignación básico es la asignación uniforme de
costes compartidos relacionados con I&T.
Se trata de un sencillísimo modelo de asignación que es
fácil de aplicar; sin embargo, según el contexto de la
empresa, se suele considerar injusto y que no fomenta el
uso responsable de los recursos. Un esquema de costes
basado en actividades, en aquel en el que los costes se
asignan a servicios de TI y se cargan a los usuarios de estos
servicios, permite una asignación de costes más
transparente y comparable.
2 Inspeccionar los catálogos de definiciones de servicios para

identificar aquellos sujetos a devolución a los usuarios y
aquellos que son servicios compartidos.
3. Diseñar el modelo de costes de manera que sea lo bastante
transparente como para permitir a los usuarios identificar
el uso y cargo actual, con categorías y factores de costes
que tengan sentido para el usuario (como, coste por
llamada a Help Desk, costo por licencia de software) y para
permitir una mejor , predictibilidad de costes de I&T y
utilización eficaz y eficiente de los recursos de I&T. Analizar
los factores de coste (tiempo dedicado por actividad,
gastos, proporción de costes fijos frente a variables, etc.).
Decidir una diferenciación adecuada (p. ej. distintas
categorías de usuarios con distinto peso) y usar
aproximaciones o medias de coste cuando los costes reales
tienen una naturaleza
muy variable.
4. Explicar los principios y el resultado del modelo de costes a

las partes interesadas clave. Obtener su retroalimentación
para perfeccionarlo con vistas a lograr un modelo
transparente y exhaustivo.
5. Obtener la aprobación de las partes interesadas clave para

comunicar el modelo de costes de I&T a la dirección de los
departamentos de usuario.
6. Comunicar cambios importantes en los principios del

modelo de coste/repercusión a las partes interesadas y
directivos clave de los departamentos de usuario.
Práctica de Gobierno (gestión): 05 Gestionar los costes.
Indicadores Asociados: a. Porcentaje de variación entre presupuestos, previsiones y costes reales.

b. Puntualidad de la monitorización e información en caso de desviaciones, así como su impacto sobre los procesos empresariales y los servicios evaluados.
Fecha
1 Obtener la aprobación de las partes interesadas clave para

comunicar el modelo de costes de I&T a la dirección de los
departamentos de usuario.
2 Establecer escalas de tiempo para la ejecución del proceso

de gestión de costes en línea con los requisitos y el plazo
del presupuesto y la contabilidad.
3. Definir un método para recopilar los datos relevantes para

identificar desviaciones del presupuesto frente a los gastos
reales, el ROI de la inversión, las tendencias de los costes
de servicios, etc.
4. Definir cómo se consolidan los costes para los niveles
adecuados en la empresa (TI central frente al presupuesto
de TI dentro de los departamentos de la empresa) y cómo
se presentarán a las partes interesadas. El informe
proporciona información de los costes por categoría de
costes, estado del presupuesto frente a los gastos actuales,
mayores gastos, etc., para permitir la identificación
oportuna de las acciones correctivas requeridas.
5. Instruir a aquellos responsables de la gestión de costes a

captar, recoger y consolidar los datos y presentar e
informar de los datos a los
responsables de presupuesto correspondientes. Los
analistas y responsables del presupuesto analizan
conjuntamente las desviaciones
y comparan el rendimiento con benchmarks internos y de
la industria. Estos deberían establecer y mantener el
método de asignación de
superávits. El resultado del análisis proporciona una
explicación de las desviaciones significativas y las acciones
correctivas sugeridas.
6. Garantizar que los niveles directivos adecuados revisen los

resultados del análisis y aprueben las acciones correctivas
sugeridas.
7. Garantizar que se identifiquen los cambios en estructuras

de costes y necesidades empresariales, y que se revisen los
presupuestos y previsiones, conforme sea necesario.
8. En intervalos regulares, y sobre todo cuando hay recortes

de presupuesto debido a limitaciones financieras,
identificar la forma de optimizar los costes e introducir
eficiencias sin poner en peligro los servicios.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO07—Gestionar los recursos humanos Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Recursos Humanos
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Adquirir y mantener una dotación de personal suficiente y adecuada.
Indicadores Asociados: a. Duración promedio de las vacantes

b. Porcentaje de puestos de TI vacantes
c. Porcentaje de rotación de personal

Implementación
1 Evaluar los requisitos de personal de forma periódica o
ante cambios mayores Asegurar que tanto la empresa
como la función de TI tengan los suficientes recursos para
apoyar las metas y los objetivos empresariales, procesos y
controles empresariales y las iniciativas habilitadas por I&T
de forma adecuada y apropiada.
2 Mantener los procesos de contratación y retención de

personal empresarial y de TI en línea con todas las políticas
y procedimientos de personal de la empresa.
3. Establecer una estructura de recursos flexible, como el uso

de transferencias, contratistas externos y acuerdos de
servicio con terceros, para apoyar el cambio en las
necesidades empresariales.
4 Incluir verificaciones de antecedentes en el proceso de

contratación de TI para empleados, contratistas y terceros.
El alcance y frecuencia de estas verificaciones debe
depender de la sensibilidad y/o criticidad de la función.
Práctica de Gobierno (gestión): 02 Identificar al personal clave de TI.
Indicadores Asociados: a. Porcentaje de trabajos críticos en los que la empresa depende de un único individuo.
b. Número de planes de respaldo de personal realizados.
Fecha
Implementación
1 Como precaución de seguridad, proporcionar directrices
sobre un tiempo mínimo de vacaciones anuales que
tomarán las personas clave.
2 Tomar las acciones pertinentes relativas a cambios

laborales, en especial terminación de contratos.
3. Usar la captura de conocimientos (documentación),
intercambio de conocimientos, planificación de sucesión y
personal de respaldo para minimizar la dependencia en un
único individuo que realice un trabajo crítico.
4 Comprobar regularmente los planes de respaldo de

personal.
Práctica de Gobierno (gestión): 03 Mantener las habilidades y competencias del personal.
Indicadores Asociados: a. Identificar habilidades y competencias clave que no se encuentren en la matriz de recursos.
b. Número de brechas identificadas entre las habilidades requeridas y las disponibles.
c. Número de programas de capacitación proporcionados.
Fecha
Implementación
1 Identificar las habilidades y competencias disponibles
actuales, tanto de recursos internos como externos.
2 Identificar las brechas entre las habilidades requeridas y las
disponibles Desarrollar planes de acción, como
capacitación (habilidades técnicas y de conducta),
contratación, reasignación y cambio de las estrategias de
abastecimiento, para resolver las brechas desde el punto
de vista individual y colectivo.
3. Revisar los materiales y programas de capacitación de

forma regular. Garantizar su idoneidad con respecto a los
requisitos en constante evolución de la empresa y su
impacto sobre el conocimiento, capacidades y habilidades
necesarias.
4 Proporcionar acceso a los repositorios de conocimiento

para respaldar el desarrollo de habilidades y competencias.
5. Desarrollar y ofrecer programas de capacitación conforme

a los requisitos del proceso y organizativos, incluidos los
requisitos para el conocimiento empresarial, control
interno, conducta ética, seguridad y privacidad.
6. Realizar evaluaciones periódicas para evaluar la evolución

de las habilidades y competencias de los recursos internos
y externos. Evaluar la planificación de los reemplazos.
Práctica de Gobierno (gestión): 04 Evaluar y reconocer/recompensar el rendimiento laboral de los empleados.
Indicadores Asociados: a. Número de momentos de retroalimentación oficial y evaluaciones de 360 grados realizadas.
b. Número y valor de las recompensas otorgadas al personal.
Fecha Estado Porcentaje Funcionarios Responsables Fecha de

Actividad Implementable Compromiso Documentación de Referencia Observaciones
1 Considerar las metas empresariales/funcionales como el

contexto para establecer metas individuales
2 Establecer metas individuales alineadas con las metas
empresariales y de I&T relevantes. Basar las metas en
objetivos específicos, medibles, alcanzables, relevantes y en
tiempo (SMART) que reflejen las competencias principales,
los valores empresariales y las habilidades
requeridas para los roles.
3. Proporcionar retroalimentación oportuna acerca del

rendimiento comparado con las metas individuales.
4 Proporcionar instrucciones específicas para el uso y el
almacenamiento de la información personal en el proceso
de evaluación, en cumplimiento de la legislación vigente
sobre datos personales y laboral vigente.
5. Recopilar resultados de evaluación de rendimiento de 360

grados.
6. Proporcionar planes formales de planificación y de
desarrollo profesional conforme a los resultados del
proceso de evaluación para fomentar
el desarrollo de competencias y las oportunidades para el
avance personal y para reducir la dependencia de
individuos clave. Proporcionar coaching a los empleados
sobre el rendimiento y la conducta cuando sea apropiado.
7. Implementar un proceso de remuneración/reconocimiento

que premie el compromiso adecuado, desarrollo de
competencias y logro de las metas de desempeño.
Asegurar que el proceso se aplique de forma consistente y
en línea con las políticas organizativas.
8. Implementar y comunicar un proceso disciplinario.
Práctica de Gobierno (gestión): 05, Planificar y hacer seguimiento del uso de los recursos humanos del negocio y de TI.
Indicadores Asociados: a. Número de carencias identificadas y habilidades ausentes a la hora de planificar el personal
b. Tiempo utilizado por cada empleado a tiempo completo (FTE) en trabajos y proyectos
Fecha
1 Crear y mantener un inventario de recursos humanos
empresariales y de TI.
2 Entender la demanda actual y futura de recursos humanos
para contribuir a lograr los objetivos de I&T y ofrecer
servicios y soluciones conforme al portafolio de iniciativas
relacionadas con I&T, al portafolio de inversión futura y
necesidades operativas diarias.
3. Identificar las carencias y proporcionar recomendaciones

sobre los planes de abastecimiento, así como de los
procesos de contratación de personal empresarial y de TI.
Crear y revisar la planificación de personal, mediante un
seguimiento de su uso real.
4 Mantener una información adecuada sobre el tiempo

dedicado a las distintas tareas, trabajos, servicios o
proyectos.
Práctica de Gobierno (gestión): 06 Gestionar al personal contratado.
Indicadores Asociados: a. Porcentaje de contratistas que firman el marco de control empresarial.

b. Frecuencia de las revisiones periódicas llevadas a cabo para garantizar la exactitud y el cumplimiento con la ley, del personal del contratista.

1 Implementar las políticas y procedimientos del personal

contratado.
2 Al inicio del contrato, obtener el acuerdo formal de los
contratistas de que deben cumplir con el marco de control
de I&T empresarial, así como con las políticas y
verificaciones de seguridad, control del acceso físico y
lógicos, uso de las instalaciones, requisitos de
confidencialidad de la información y acuerdos de no
revelación.
3. Avisar a los contratistas de que los directivos se reservan el

derecho a supervisar e inspeccionar todo el uso de los
recursos de TI, incluido el correo electrónico,
comunicaciones de voz y todos los programas y archivos de
datos.
4 Como parte de sus contratos, proporcionar a los

contratistas una definición clara de sus roles y
responsabilidades, incluidos los requisitos explícitos para
documentar su trabajo conforme a los estándares y
formatos acordados.
5. Revisar el trabajo de contratistas y basar la aprobación de

los pagos en los resultados.
6. En contratos formales y no ambiguos, definir todo el
trabajo realizado por personal externo.
7. Realizar revisiones periódicas para garantizar que el
personal contratado haya firmado y aceptado todos los
acuerdos necesarios.
8. Realizar revisiones periódicas para garantizar que los roles

de los contratistas y los derechos de acceso sean
adecuados y conforme a los contratos.
Práctica de Gobierno (gestión): 06 Gestionar al personal contratado.
Indicadores Asociados: a. Porcentaje de contratistas que firman el marco de control empresarial.

b. Frecuencia de las revisiones periódicas llevadas a cabo para garantizar la exactitud y el cumplimiento con la ley, del personal del contratista.
Fecha
1 Implementar las políticas y procedimientos del personal

contratado.
2 Al inicio del contrato, obtener el acuerdo formal de los
contratistas de que deben cumplir con el marco de control
de I&T empresarial, así como con las políticas y
verificaciones de seguridad, control del acceso físico y
lógicos, uso de las instalaciones, requisitos de
confidencialidad de la información y acuerdos de no
revelación.
3. Avisar a los contratistas de que los directivos se reservan el

derecho a supervisar e inspeccionar todo el uso de los
recursos de TI, incluido el correo electrónico,
comunicaciones de voz y todos los programas y archivos de
datos.
4 Como parte de sus contratos, proporcionar a los

contratistas una definición clara de sus roles y
responsabilidades, incluidos los requisitos explícitos para
documentar su trabajo conforme a los estándares y
formatos acordados.
5. Revisar el trabajo de contratistas y basar la aprobación de

los pagos en los resultados.
6. En contratos formales y no ambiguos, definir todo el
trabajo realizado por personal externo.
7. Realizar revisiones periódicas para garantizar que el
personal contratado haya firmado y aceptado todos los
acuerdos necesarios.
8. Realizar revisiones periódicas para garantizar que los roles

de los contratistas y los derechos de acceso sean
adecuados y conforme a los contratos.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO08—Gestionar las relaciones Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Entender las expectativas del negocio
Indicadores Asociados: a. Número de problemas empresariales actuales identificados.

b. Números de requisitos empresariales definidos para servicios habilitados por I&T

Implementación
1 Identificar a las partes interesadas del negocio, sus
intereses y áreas de responsabilidad.
2 Revisar la dirección, problemas, objetivos estratégicos
actuales de la empresa y su alineamiento con la
arquitectura empresarial.
3. Entender el entorno de negocio, limitaciones o problemas

actuales de los procesos, expansión o contracción
geográfica y factores de la industria/regulatorios.
4 Mantener un conocimiento de los procesos empresariales y

actividades asociadas. Entender los patrones de la
demanda que se relacionan con los volúmenes y uso del
servicio.
5 Gestionar expectativas garantizando que las unidades de

negocio entiendan las prioridades, dependencias,
limitaciones financieras y la necesidad de programar
solicitudes.
6 Clarificar las expectativas empresariales para los servicios y

soluciones habilitados por I&T. Asegurar que los requisitos
vengan definidos con criterios y métricas de aceptación
empresarial.
7. Confirmar que existe un acuerdo entre TI y todos los

departamentos de la empresa acerca de las expectativas y
cómo se medirán. Asegurar que este acuerdo sea
confirmado por todas las partes interesadas.
Práctica de Gobierno (gestión): 02: Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades para que TI mejore el negocio.
Indicadores Asociados: a. Tasa de inclusión de las oportunidades tecnológicas en las propuestas de inversión
b. Encuesta sobre el nivel de conocimiento tecnológico de las partes interesadas del negocio
Fecha
Implementación
1 Posicionar TI como un socio del negocio Jugar un papel
proactivo a la hora de identificar y comunicarse con partes
interesadas clave acerca de oportunidades, riesgo y
limitaciones. Entre ellos se incluyen tecnologías
emergentes, servicios y modelos de procesos empresariales
actuales.
2 Colaborar en las principales iniciativas nuevas con gestión

del portafolio, programas y proyectos. Garantizar la
participación de la organización de TI desde el inicio de una
nueva iniciativa mediante consejos y recomendaciones que
añadan valor (p. ej. desarrollo de casos de negocio,
definición de requisitos, diseño de soluciones) y
responsabilizándose de los flujos de trabajo de I&T.
Práctica de Gobierno (gestión): APO08.03 Gestionar la relación con el negocio.
Indicadores Asociados: a. Calificaciones de encuestas de satisfacción de usuarios y personal de TI

b. Porcentaje de roles y responsabilidades en las relaciones definidos, asignados y comunicados
Fecha
Implementación
1 Asignar un gestor de relaciones como un único punto de
contacto para cada unidad de negocio significativa.
Asegurar que se identifique una única contraparte en la
organización de la empresa y que la contraparte entienda
el negocio, conozca suficientemente la tecnología y tenga
el nivel de autoridad adecuado.
2 Gestionar la relación de una manera formal y transparente

que asegure un enfoque en el logro de una meta común y
compartida de resultados empresariales exitosos, en apoyo
de las metas estratégicas y dentro de las limitaciones de los
presupuestos y la tolerancia al
riesgo.
3. Definir y comunicar las reclamaciones y el procedimiento

de escalamiento para resolver cualquier problema de
relaciones.
Asegurar que las partes interesadas responsables

relevantes. acuerden y aprueben las decisiones claves
4.
5. Planificar interacciones y calendarios específicos basados
en objetivos acordados y un lenguaje común (reunión de
revisión del servicio y el rendimiento, revisión de nuevas
estrategias o planes, etc.).
Práctica de Gobierno (gestión): 04 Coordinar y comunicar
Indicadores Asociados: a. Tiempo transcurrido desde la última actualización del plan de comunicación para toda la empresa
b. Porcentaje de satisfacción del dueño de negocio con la coordinación de la prestación íntegra de servicios y soluciones de I&T
Fecha
Implementación
1 Coordinar y comunicar los cambios y actividades de
transición como planes de cambios o proyectos,
calendarios, políticas de liberación, errores conocidos en la
liberación y capacitación de sensibilización.
2 Coordinar y comunicar actividades operativas, roles y

responsabilidades, incluida la definición de los tipos de
peticiones, escalamiento jerárquico, interrupciones
mayores (planificadas y no planificadas) y contenido y
frecuencia de los informes de servicio.
3. Hacerse responsable de la respuesta al negocio en el caso

de eventos importantes que podrían influir en la relación
con el negocio. Proporcionar un soporte directo, si fuera
necesario.
Mantener un plan completo de comunicación que defina el

contenido, frecuencia y destinatarios de la información de
la prestación del servicio, incluido el estado del valor
ofrecido y cualquier riesgo identificado.
4.
Práctica de Gobierno (gestión): 05 Proporcionar aportes para la mejora continua de los servicios.
Indicadores Asociados: a. Porcentaje de servicios de I&T alineados con los requisitos de negocio de la empresa
b. Porcentaje de las causas raíz identificadas y resueltas para todos los problemas
Fecha
Implementación
1 Realizar análisis de satisfacción para clientes y proveedores.
Asegurar que se resuelvan los problemas; informar de los
resultados y el estado.
2 Trabajar juntos para identificar, comunicar e implementar

iniciativas de mejora.
3. Trabajar con la dirección del servicio y los dueños del
proceso para asegurar que los servicios y los procesos de
gestión de servicios habilitados por I&T se mejoren de
forma continua y que las causas raíz de todos los problemas
se identifiquen y resuelvan.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO09 — Gestionar los acuerdos de servicio Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Identificar los servicios de I&T.
Indicadores Asociados: a. Número de actividades empresariales que no reciben el apoyo de ningún servicio de I&T
b. Número de servicios obsoletos identificados

Implementación
1 Evaluar los servicios y niveles de servicios de I&T actuales
para identificar las brechas entre los servicios actuales y las
actividades empresariales que apoyan. Identificar áreas de
mejora de los servicios existentes y opciones de nivel de
servicio.
2 Analizar, estudiar y estimar la demanda futura y confirmar

la capacidad de servicios actuales habilitados por I&T.
3. Analizar actividades del proceso empresarial para

identificar la necesidad de servicios de I&T nuevos o
rediseñados.
4 Comparar los requisitos identificados con los componentes

de servicio vigentes del portafolio. Si fuera posible, incluir
los componentes de servicio vigentes (servicios de I&T,
opciones de nivel de servicio y paquetes de servicio) en
nuevos paquetes de servicio para satisfacer los requisitos
del negocio identificados.
5 Revisar regularmente el portafolio de servicios de I&T con

la gestión del portafolio y la gestión de relaciones con el
negocio para identificar servicios obsoletos. Acordar su
retirada y proponer cambios.
6 Cuando sea posible, hacer corresponder las demandas con

los paquetes de servicio y crear servicios estandarizados
para lograr eficiencias
globales.
Práctica de Gobierno (gestión): 02 Catalogar los servicios habilitados por I&T.
Indicadores Asociados: a. Porcentaje de servicios activos habilitados por I&T y paquetes de servicio ofrecidos en comparación con el portafolio
b. Tiempo transcurrido desde la última actualización del portafolio de servicios.
Fecha
Implementación
1 Publicar en catálogos los servicios activos importantes ,
paquetes de servicios y opciones de nivel de servicio
habilitados por TI desde el portafolio.
2 Asegurar de forma continua que los componentes de

servicio en el portafolio y los catálogos de servicios
relacionados estén completos y actualizados.
3. Informar a la dirección de gestión de relaciones

empresariales acerca de todas las actualizaciones de los
catálogos de servicios.
Práctica de Gobierno (gestión): 03 Definir y preparar acuerdos de servicio
Indicadores Asociados: a. Número de procesos de negocio con acuerdos de servicio no definidos

b. Porcentaje de servicios de TI activos cubiertos por acuerdos de servicio
Fecha
Implementación
1 Analizar los requisitos para acuerdos de servicio nuevos o
modificados recibidos de la gestión de relaciones con el
negocio a fin de asegurar que puedan satisfacerse.
Considerar aspectos como los tiempos de servicio,
disponibilidad, rendimiento, capacidad, seguridad,
privacidad, continuidad, problemas de cumplimiento y
regulatorios, usabilidad, limitaciones de la demanda y
calidad de los datos.
2 Redactar borradores de acuerdos de servicio al cliente

basados en los servicios, paquetes de servicios y opciones
de nivel de servicio en los catálogos de servicios relevantes.
3. Finalizar los acuerdos de servicio al cliente con la gestión de

relaciones con el negocio.
4. Determinar, acordar y documentar acuerdos operativos
internos que sustenten los acuerdos de servicio al cliente, si
corresponde.
5. Relacionarse con la gestión de proveedores externos para

garantizar que los adecuados contratos comerciales con
proveedores de servicios externos sustenten los acuerdos
de servicio al cliente, si corresponde.
Práctica de Gobierno (gestión): 04 Monitorizar y reportar los niveles de servicio
Indicadores Asociados: a. Número y severidad de las brechas de servicio

b. Porcentaje de clientes satisfechos con que la prestación de servicios cumple con los niveles acordados
c. Porcentaje de objetivos de servicio alcanzados.
d. Porcentaje de servicios monitorizados contra los niveles de servicio

Implementación
1 Establecer y mantener medidas para monitorizar y
recopilar datos de nivel de servicio.
2 Evaluar el rendimiento y proporcionar reportes sobre el
rendimiento de los acuerdos de servicio regular y
formalmente, incluidas las desviaciones de los valores
acordados. Distribuir este informe a la gestión de
relaciones con el negocio.
3. Realizar revisiones regulares para pronosticar e identificar

las tendencias del rendimiento de nivel de servicio.
Incorporar prácticas de gestión de calidad en la
monitorización de servicios.
4. Ofrecer la información de gestión apropiada para contribuir

a la gestión del rendimiento.
5. Acordar planes de acción y remediaciones para cualquier
problema de rendimiento o tendencias negativas.
Práctica de Gobierno (gestión): 05 Revisar los acuerdos y los contratos de servicio.
Indicadores Asociados: a. Número de revisiones de los acuerdos de servicio realizadas.

b. Porcentaje de objetivos de servicio alcanzados.
c. Porcentaje de partes interesadas satisfechas con la calidad de los acuerdos de servicio
d. Número de acuerdos de servicio revisados, conforme sea necesario.
Fecha
Implementación
1 Revisar de forma regular los acuerdos de servicio conforme
a los términos acordados para garantizar que sean efectivos
y estén actualizados. Cuando corresponda, tener en cuenta
cambios en requisitos, servicios habilitados por I&T,
paquetes de servicio y opciones de nivel de servicio.
2 Cuando sea necesario, revisar el acuerdo de servicio

vigentes con el proveedor de servicios. Acordar y actualizar
los acuerdos operativos internos.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO10 — Gestionar los proveedores Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Contratación y Adquisición de Bienes y Servicios Tecnológicos
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Identificar y evaluar los contratos y las relaciones con los proveedores.
Indicadores Asociados: a. Porcentaje de criterios de evaluación definidos logrados para los proveedores externos y contratos vigentes
b. Porcentaje de proveedores externos alternativos que proporcionan servicios equivalentes a contratos de proveedores externos vigentes

Implementación
1 Evaluar continuamente el entorno empresarial en
búsqueda de nuevos socios y proveedores que puedan
proporcionar capacidades complementarias y ayudar a
ejecutar la estrategia de I&T, la hoja de ruta y los objetivos
empresariales.
2 Establecer y mantener los criterios relacionados con el tipo,

importancia y criticidad de proveedores y contratos de
proveedores, para permitir enfocarse en los proveedores
preferidos e importantes.
3. Identificar, registrar y clasificar los proveedores y los

contratos vigentes según los criterios definidos para
mantener un registro detallado de proveedores preferidos
que se deban gestionar cuidadosamente.
4 Establecer y mantener un criterio de evaluación de

proveedores y contratos para permitir una revisión y
comparación general del rendimiento de los proveedores
de forma consistente.
5 Evaluar y comparar de forma periódica el rendimiento de

proveedores vigentes y alternativos para identificar
oportunidades o una necesidad apremiante de
reconsideración de los contratos de los proveedores
actuales.
Práctica de Gobierno (gestión): 02 Seleccionar proveedores
Indicadores Asociados: a. Número de brechas identificadas entre las ofertas del proveedor seleccionado y las necesidades señaladas en la solicitud de propuesta (RFP)
b. Porcentaje de partes interesadas satisfechas con los proveedores.

Implementación
1 Revisar todas las solicitudes de información (RFI) y
solicitudes de propuestas (RFP) para asegurar que definan
claramente los requisitos (p. ej., los requisitos de la
empresa en cuanto a seguridad y privacidad de la
información, requisitos de los procesos operativos
empresariales y de I&T, prioridades para la prestación del
servicio) e incluir un procedimiento para aclarar los
requisitos. Las RFI y RFP deben proporcionar a los
proveedores el tiempo suficiente para preparar sus
propuestas y deben definir claramente los criterios de
adjudicación y el proceso de decisión.
2 Evaluar las RFI y RFP conforme al proceso/criterios de

evaluación aprobados y mantener las pruebas
documentales de las evaluaciones. Comprobar las
referencias de los proveedores candidatos.
3. Seleccionar el proveedor que mejor encaje con la RFP.

Documentar y comunicar la decisión y firmar el contrato.
4 En el caso específico de la adquisición de software, incluir y

reforzar los derechos y obligaciones de todas las partes en
los términos contractuales. Estos derechos y obligaciones
podrían incluir la titularidad y licencias de Propiedad
Intelectual (PI); mantenimiento; garantías;
procedimientos de arbitraje; términos de las
actualizaciones; e idoneidad, además de la seguridad,
privacidad, escrow (depósito en fideicomiso) y
derechos de acceso.
5 En el caso específico de la adquisición de recursos para

desarrollo, incluir y reforzar los derechos y obligaciones de
todas las partes en los términos contractuales. Estos
derechos y obligaciones podrían incluir la titularidad y
licencias de PI; idoneidad, incluidas las metodologías de
desarrollo; pruebas; procesos de gestión de la calidad,
incluyendo los criterios de rendimiento requeridos y
revisiones de rendimiento; condiciones para el pago;
garantías; procedimientos de arbitraje; gestión de los
recursos humanos; y cumplimiento con las políticas de la
empresa.
6. Obtener asesoría jurídica sobre los acuerdos de

adquisiciones de desarrollo relacionados con la titularidad y
licencias de PI:
7. En el caso específico de la adquisición de infraestructura,
instalaciones y servicios relacionados, incluir y reforzar los
derechos y obligaciones de todas las partes en los términos
contractuales. Estos derechos y obligaciones podrían incluir
los niveles de servicio, procedimientos de mantenimiento,
controles de acceso, seguridad, privacidad, revisión del
rendimiento, condiciones para el pago y procedimientos de
arbitraje.
Práctica de Gobierno (gestión): 03 Gestionar los contratos y las relaciones con los proveedores.
Indicadores Asociados: a. Porcentaje de terceros proveedores que tienen contratos que definen los requisitos de control
b. Número de disputas formales con proveedores.
c. Número de reuniones de revisión con los proveedores.
d. Porcentaje de disputas resueltas amistosamente en un plazo razonable.
Fecha
1 Asignar dueños de relaciones para todos los proveedores y Implementación
hacerles que rindan cuentas de la calidad del servicio(s)
proporcionado(s).
2 Especificar una comunicación formal y un proceso de

revisión, incluidos las interacciones y calendarios de los
proveedores.
3. Acordar, gestionar, mantener y renovar formalmente los

contratos con el proveedor. Asegurar que los contratos
cumplan con los estándares de la empresa y con los
requisitos legales y regulatorios.
4 Incluir disposiciones en los contratos con los proveedores

de servicio clave para la revisión de las instalaciones del
proveedor y de las prácticas internas y de los controles por
parte de la dirección o terceros independientes. Acordar
una auditoría y controles de aseguramiento independientes
de los entornos operativos de proveedores que
proporcionen servicios externalizados para confirmar que
se han atendido de
forma adecuada los requisitos acordados.
5 Usar procedimientos establecidos para tratar las disputas

contractuales. Siempre que sea posible, usar primero
relaciones y comunicaciones eficaces para solventar los
problemas del servicio.
6. Definir y formalizar los roles y responsabilidades de cada

proveedor de servicio. Cuando se combinen varios
proveedores para proporcionar un servicio, considerar
asignar un rol de contratista líder a uno de los proveedores
para que se haga responsable del contrato general.
7. Evaluar la eficacia de la relación e identificar las mejoras
necesarias.
8. Definir, comunicar y acordar la forma de implementar las
mejoras requeridas a la relación.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO11 — Gestionar la calidad Implementable
Proceso relacionado del Marco Normativo: Calidad de los procesos tecnológicos
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Establecer un sistema de gestión de calidad (SGC).
Indicadores Asociados: a. Porcentaje de la eficacia de las revisiones de gestión de la calidad.

b. Porcentaje de satisfacción de partes interesadas clave con el programa de revisión de gestión de la calidad.
Fecha
Implementación
1 Asegurar que el marco de control de I&T y los procesos
2 empresariales y de TI,
Definir roles, tareas incluyen una
y derechos estrategia
de decisión y estándar,
formal y continua con
responsabilidades para respecto
la gestióna la gestión de la
encalidad
3. Obtener
que está insumos
alineada de
con lalos
dirección yde
requisitos
lapartes
lasde calidad
la
la
interesadas
empresa. Dentro
estructura
externas e organizativa.
internas sobre la definición de los requisitos de
4 del marco de control de I&T y los procesos
Gestionar y revisar regularmente el SGC frente a los
calidad ydelosaceptación
empresariales
criterios criterios
y de TI,de gestión de
identificar
acordados. la calidad.
losIncluir
requisitos y criterios de
retroalimentación
5 Responder
calidad a las discrepancias
(p. ej. conforme con de los resultados de la
de los clientes,
revisión para usuarios
mejorar y los requisitos
continuamente
legales y los
el SGC.
requisitos
dirección. de los clientes).
Práctica de Gobierno (gestión): 02: Enfocar la gestión de la calidad en los clientes.
Indicadores Asociados: a. Porcentaje de satisfacción del cliente

b. Porcentaje de requisitos y expectativas del cliente comunicadas a la empresa y la organización de TI.
Fecha
Implementación
1 Enfocar la gestión de la calidad en los clientes para
determinar los requisitos del cliente interno y externo y
asegurar el alineamiento de los estándares y las prácticas
de I&T. Definir y comunicar los roles y responsabilidades
relacionados con la resolución de conflictos entre el
usuario/cliente y la organización de TI.
2 Gestionar las necesidades y expectativas empresariales

para cada proceso de negocio y servicio operativo y nuevas
soluciones de TI. Mantener sus criterios de aceptación de
calidad.
3. Comunicar los requisitos y expectativas del cliente al

negocio y la organización de TI.
4 Obtener las opiniones de clientes de forma periódica sobre
los procesos de negocio y la prestación de servicios y
entrega de soluciones
de TI. Determinar el impacto de los estándares y prácticas
de I&T y garantizar que se satisfagan y pongan en práctica
las expectativas del cliente.
5 Capturar los criterios de aceptación de calidad para su

inclusión en los SLA.
Práctica de Gobierno (gestión): 03, Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de la calidad en los procesos y soluciones clave.
Indicadores Asociados: a. Número de procesos con requisitos de calidad definidos.

b. Número de defectos descubiertos antes del paso a producción.
c. Número de servicios con un plan formal de gestión de la calidad.
d. Número de SLAs que incluyen criterios de aceptación de la calidad.
Fecha
Implementación
1 Definir los estándares, prácticas y procedimientos de
gestión de la calidad en línea con los requisitos del marco
de control de I&T y los criterios y políticas de gestión de la
calidad empresariales.
2 Integrar las prácticas de gestión de la calidad requeridas en

procesos y soluciones clave en toda la organización.
3. Cuantificar los beneficios y costes de las certificaciones de
calidad.
4 Comunicar de forma eficaz el enfoque de gestión de la
calidad (p. ej., a través de programas de capacitación de
calidad formales y regulares).
5 Registrar y monitorizar los datos de calidad. Usar buenas

prácticas de la industria como referencia a la hora de
mejorar y personalizar las prácticas de calidad de la
empresa.
6. Revisar regularmente la relevancia, eficiencia y eficacia

continua de los procesos específicos de gestión de calidad.
Monitorizar el logro de los objetivos de calidad.
Práctica de Gobierno (gestión): 04 Llevar a cabo la monitorización, control y revisiones de calidad.
Indicadores Asociados: a. Porcentaje de soluciones y servicios entregados con certificación formal.

b. Calificación promedio de satisfacción de las partes interesadas con las soluciones y los servicios.
c. Número de procesos con un reporte formal de evaluación de la calidad.
d. Porcentaje de proyectos revisados que cumplen con las metas y los objetivos de calidad esperados.
e. Número, robustez y plazo de los análisis de riesgo.
Implementación
1 Preparar y realizar las revisiones de calidad para procesos y
soluciones organizativas clave.
2 Para estos procesos y soluciones organizativas clave,
monitorizar las métricas de calidad basadas en metas
alineadas con los objetivos generales en cuanto a calidad.
3. Asegurar que la dirección y los responsables de los

procesos revisen regularmente el rendimiento de la gestión
de la calidad en comparación con las métricas de calidad
definidas.
4 Analizar los resultados generales del rendimiento de

gestión de la calidad.
5 Informar sobre los resultados de revisión de rendimiento y
gestión de la calidad e iniciar las mejoras necesarias.
Práctica de Gobierno (gestión): 05 Mantener la mejora continua.
Indicadores Asociados: a. Número de análisis de causa raíz completados.

b. Porcentaje de servicios y productos completados dentro del plazo.
Fecha
Implementación
1 Establecer una plataforma para compartir buenas prácticas
y captar información sobre los defectos y errores para
permitir el aprendizaje a partir de ellos.
2 Identificar ejemplos de procesos de entrega de calidad

excelente que puedan beneficiar a otros servicios o
proyectos. Compartirlos con los equipos de ejecución de
proyectos y servicios para fomentar la mejora.
3. Identificar ejemplos recurrentes de defectos de calidad.

Determinar su causa raíz, evaluar su impacto y resultado y
acordar acciones de mejora con los equipos de ejecución
del servicio y/o proyecto.
4 Proporcionar a los empleados formación en métodos y

herramientas de mejora continua.
5 Hacer un análisis comparativo de los resultados de
benchmarks de calidad con los datos históricos internos,
directrices de la industria, estándares y datos de tipos de
empresas similares.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO12—Gestionar el riesgo Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Gestión de Riesgos Tecnológicos
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Recopilar datos.
Indicadores Asociados: a. Número de eventos de pérdida con características clave capturados en repositorios.
b. Porcentaje de auditorías, eventos y tendencias capturados en repositorios.
c. Porcentaje de sistemas críticos con problemas conocidos.

Implementación
1 Establecer y mantener un método para la recogida,
clasificación y análisis de datos relacionados con el riesgo
de I&T.
2 Registrar datos relevantes y significativos relacionados con

los riesgos de I&T en el entorno operativo interno y externo
de la empresa.
3. Adoptar o definir una taxonomía de riesgo para las

definiciones consistentes de escenarios de riesgo y
categorías de impacto y probabilidad.
4 Registrar datos de eventos de riesgo que han causado o

podrían causar impacto en el negocio conforme a las
categorías de impacto definidas en la taxonomía de riesgo.
Capturar datos relevantes de cuestiones, incidentes,
problemas e investigaciones.
5 Estudiar y analizar los datos históricos de riesgo de I&T y de

pérdidas experimentadas a partir de datos y tendencias
externos disponibles, homólogos de la industria a través de
logs de eventos de la industria, bases de datos, y acuerdos
de la industria, para la publicación común de eventos.
6. Para clases de eventos similares, organizar los datos

recopilados y resaltar los factores causantes. Determinar
los factores causantes comunes en múltiples eventos.
7. Determinar las condiciones específicas que existieron o
estuvieron ausentes cuando tuvieron lugar los eventos de
riesgo y la forma en que las condiciones afectaron a la
frecuencia del evento y la magnitud de la pérdida.
8. Realizar un análisis periódico de eventos y factores de

riesgo para identificar riesgos nuevos o emergentes y para
mejorar el entendimiento de los factores de riesgo internos
y externos asociados.
Práctica de Gobierno (gestión): 02 Analizar el riesgo.

Indicadores Asociados: a. Número de escenarios de riesgo de I&T identificados.
b. Tiempo transcurrido desde la última actualización de los escenarios de riesgos de I&T.
Fecha
Implementación
1 Definir el alcance adecuado de los esfuerzos en análisis de
riesgos, considerando todos los factores de riesgo y/o la
criticidad de los activos para el negocio.
2 Crear y actualizar regularmente los escenarios de riesgo de

I&T; las exposiciones a pérdidas relacionadas con I&T; y los
escenarios relacionados con el riesgo reputacional,
incluidos escenarios compuestos de tipos de amenazas y
eventos en cascada y/o coincidentes. Desarrollar
previsiones para actividades de control específicas y
capacidades de detección.
3. Estimar la frecuencia (o probabilidad) y la magnitud de la

pérdida o ganancia asociada con escenarios de riesgos de
I&T. Tener en cuenta todos los factores de riesgo aplicables
y evaluar controles operativos conocidos.
4 Comparar el riesgo actual (exposición a pérdidas de I&T)

con el apetito al riesgo y la tolerancia de riesgo aceptable.
Identificar el riesgo inaceptable
o elevado.
5 Proponer respuestas al riesgo para riesgos que excedan el

apetito al riesgo y los niveles de tolerancia.
6. Especificar los requisitos de alto nivel para los proyectos o
programas que implementarán las respuestas a los riesgos
seleccionadas. Identificar los requisitos y expectativas para
los controles clave adecuados a fin de proporcionar
respuestas de mitigación de riesgos.
7. Validar el análisis de riesgo y los resultados del análisis de
impacto del negocio (BIA) antes de usarlos en la toma de
decisiones. Confirmar que el análisis se corresponde con los
requisitos empresariales y comprobar que los sesgos de las
estimaciones se calibraron y analizaron de forma adecuada.
8. Analizar el coste/beneficio de las posibles opciones de

respuesta al riesgo, como evitar, reducir/mitigar,
transferir/compartir y aceptar y explotar/
aprovechar. Confirmar la respuesta óptima al riesgo.
Práctica de Gobierno (gestión): 03 Mantener un perfil de riesgo.

Indicadores Asociados: a. Completitud de atributos y valores en el perfil de riesgo.
b. Porcentaje de procesos clave de negocio incluidos en el perfil de riesgo.
Fecha
Implementación
1 Hacer un inventario de los procesos de negocio y
documentar su dependencia con los procesos de gestión de
servicios de I&T y los recursos de infraestructura de TI.
Identificar el personal de apoyo, aplicaciones,
infraestructura, instalaciones, registros manuales críticos,
contratistas, proveedores, y terceros.
2 Determinar y acordar qué servicios de I&T y recursos de

infraestructura de TI son esenciales para sostener el
funcionamiento de los procesos de negocio. Analizar las
dependencias e identificar los eslabones débiles.
3. Agregar los escenarios de riesgos actuales por categoría,

línea de negocio y área funcional.
4 Capturar regularmente toda la información del perfil de
riesgo y consolidarla en un perfil de riesgo agregado.
5 Capturar información sobre el estado del plan de acción de
riesgos para su inclusión en el perfil de riesgo de I&T de la
empresa.
6. Con base en todos los datos del perfil de riesgo, definir un

conjunto de indicadores de riesgo que permitan una
identificación y monitorización rápida del riesgo actual y las
tendencias de riesgo.
7. Capturar información sobre eventos de riesgo de I&T que

se han materializado para su inclusión en el perfil de riesgo
de TI de la empresa.
Práctica de Gobierno (gestión): 04 Articular el riesgo.

Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas con los informes de riesgos proporcionados
b. Completitud de los informes del perfil de riesgos (incluida información alineada con los requisitos de las partes interesadas).
c. Uso de informes de riesgos en la toma de decisiones de gestión.
Fecha
Implementación
1 Informar sobre los resultados del análisis de riesgo a todas
las partes interesadas afectadas en términos y formatos
útiles para soportar las decisiones empresariales. Siempre
que sea posible, incluir las probabilidades y rangos de
pérdidas o ganancias, junto con los niveles de confianza,
para permitir que la gerencia haga balance del retorno del
riesgo.
2 Proporcionar a los responsables de la toma de decisiones la

comprensión de los escenarios más probables y peores,
exposiciones a pérdidas de I&T y consideraciones
significativas de reputación, legales y regulatorias, o
cualquier otra categoría de impacto conforme a la
taxonomía de riesgos.
3. Informar sobre el perfil de riesgo actual a todas las partes

interesadas. Incluir información sobre la eficacia del
proceso de gestión de riesgos, eficacia del control, brechas,
inconsistencias, redundancias, estado de remediación y sus
impactos en el perfil de riesgo.
4 De forma periódica, en áreas con riesgos relativos y

capacidades de riesgo similares, identificar portunidades
relacionadas con I&T que permitirían la aceptación de un
riesgo mayor y un mayor crecimiento y retorno.
5 Revisar los resultados de las evaluaciones objetivas de

terceros y revisiones de auditoría interna y de
aseguramiento de la calidad. Incluirlos en el perfil de riesgo.
Revisar las brechas identificadas y las exposiciones de
pérdidas relacionadas con I&T para determinar la
necesidad de un análisis de riesgos adicional.
Práctica de Gobierno (gestión): 05 Definir un portafolio con acciones de gestión de riesgos.

Indicadores Asociados: a. Número de incidentes significativos no identificados e incluidos en el portafolio de gestión de riesgos.
b. Porcentaje de propuestas de proyectos de gestión de riesgos rechazadas por falta de consideración de otros riesgos relacionados.
Fecha
1 Mantener un inventario de las actividades de control que
se han implantado para mitigar el riesgo y que permiten
que se tomen riesgos alineados con el apetito y la
tolerancia al riesgo. Clasificar las actividades de control y
asignarlas a escenarios de riesgos de I&T específicos y
escenarios de riesgos de I&T agregados.
2 Determinar si cada entidad organizativa monitoriza el

riesgo y acepta la responsabilidad de actuar dentro de los
niveles de tolerancia individuales y del portafolio.
3. Definir un conjunto de propuestas de proyectos equilibrada

diseñada para reducir el riesgo y/o proyectos que permitan
oportunidades empresariales estratégicas, con
consideración de los costes, beneficios, efecto en el perfil
de riesgo actual y en las regulaciones.
Práctica de Gobierno (gestión): 06 Responder al riesgo.

Indicadores Asociados: a. Número de medidas que no reducen el riesgo residual.
b. Porcentaje de planes de acción de riesgo de I&T ejecutados según se diseñaron.

Implementación
1 Preparar, mantener y probar planes que documenten los
pasos específicos que deben darse cuando un evento de
riesgo pudiera causar un incidente significativo de
desarrollo u operativo con un impacto grave para el
negocio. Asegurar que los planes incluyan vías de
escalamiento en la empresa.
2 Aplicar el plan de respuesta adecuado para minimizar el

impacto cuando ocurren incidentes de riesgo.
3. Clasificar los incidentes y comparar las exposiciones a
pérdidas relacionadas con I&T con los umbrales de
tolerancia al riesgo. Comunicar los impactos de negocio a
los responsables de la toma de decisiones como parte del
reporte y actualización del perfil de riesgo.
4 Examinar eventos adversos/pérdidas y oportunidades del

pasado no consideradas y determinar las causas raíz.
5 Comunicar la causa raíz, requisitos adicionales de
respuestas al riesgo y mejoras del proceso a los
responsables de la toma de decisiones correspondientes.
Asegurar que la causa, requisitos de respuesta y mejora del
proceso se incluyan en los procesos de gobierno del riesgo.
Práctica de Gobierno (gestión): 05 Definir un portafolio con acciones de gestión de riesgos.

Indicadores Asociados: a. Número de incidentes significativos no identificados e incluidos en el portafolio de gestión de riesgos.
b. Porcentaje de propuestas de proyectos de gestión de riesgos rechazadas por falta de consideración de otros riesgos relacionados.

Implementación
1 Mantener un inventario de las actividades de control que
se han implantado para mitigar el riesgo y que permiten
que se tomen riesgos alineados con el apetito y la
tolerancia al riesgo. Clasificar las actividades de control y
asignarlas a escenarios de riesgos de I&T específicos y
escenarios de riesgos de I&T agregados.
2 Determinar si cada entidad organizativa monitoriza el

riesgo y acepta la responsabilidad de actuar dentro de los
niveles de tolerancia individuales y del portafolio.
3. Definir un conjunto de propuestas de proyectos equilibrada

diseñada para reducir el riesgo y/o proyectos que permitan
oportunidades empresariales estratégicas, con
consideración de los costes, beneficios, efecto en el perfil
de riesgo actual y en las regulaciones.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO13—Gestionar la seguridad Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Seguridad y Ciberseguridad
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI).
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas con el plan de seguridad en toda la empresa

Implementación
1 Definir el alcance y los límites del sistema de gestión de
seguridad de la información (SGSI) en términos de las
características de la empresa, organización, ubicación,
activos y tecnología. Incluir detalles y justificación de las
exclusiones del alcance.
2 Definir un SGSI conforme a la política empresarial y el

contexto en el que opera la empresa.
3. Alinear el SGSI con el enfoque global de la empresa hacia la
gestión de la seguridad.
4 Obtener la autorización de la dirección para implementar y
operar o cambiar el SGSI.
5 Preparar y mantener una declaración de aplicabilidad que
describa el alcance del SGSI.
6. Definir y comunicar los roles y responsabilidades de la
gestión de seguridad de la información.
7. Comunicar la estrategia de SGSI.
Práctica de Gobierno (gestión): 02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad.
Indicadores Asociados: a. Porcentaje de simulaciones de escenarios de riesgo de seguridad exitosas.

b. Número de empleados que han completado con éxito una formación de concienciación sobre seguridad de la información

Implementación
1 Formular y mantener un plan de tratamiento de riesgos de
seguridad de la información alineado con objetivos
estratégicos y la arquitectura empresarial. Asegurar que el
plan identifique las prácticas de gestión y las soluciones de
seguridad apropiadas y óptimas, con los recursos,
responsabilidades y prioridades asociados para la gestión
de los riesgos de seguridad de la información identificados.
2 Mantener, como parte de la arquitectura de la empresa, un

inventario de los componentes de la solución establecida
para gestionar los riesgos relacionados con la seguridad.
3. Desarrollar propuestas para implementar el plan de

tratamiento de riesgos de seguridad, apoyadas por casos
de negocio apropiados que incluyan consideraciones de
financiación y asignación de roles y responsabilidades.
4 Proporcionar aportes para el diseño y desarrollo de

prácticas y soluciones de gestión, seleccionadas en el plan
de tratamiento de riesgos de seguridad de la información.
5 Implementar programas de formación y concienciación

sobre seguridad de la información y privacidad.
6. Integrar la planificación, diseño, implementación y
monitorización de procedimientos de seguridad de la
información y privacidad y otros controles capaces de
permitir la prevención, detección rápida de eventos de
seguridad y la respuesta a incidentes de seguridad.
7. Definir cómo medir la eficacia de las prácticas de gestión

seleccionadas. Especificar cómo deben usarse estas
medidas para evaluar la eficacia para producir resultados
comparables y reproducibles.
Práctica de Gobierno (gestión): 03 Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI).
Indicadores Asociados: a. Frecuencia de revisiones de seguridad programadas.

b. Número de hallazgos en revisiones de seguridad programadas regularmente.
c. Nivel de satisfacción de las partes interesadas con el plan de seguridad.
d. Número de incidentes relacionados con la seguridad causados por no adherirse adecuadamente al plan de seguridad
Fecha
1 Llevar a cabo revisiones regulares de la eficacia del SGSI.

Incluir el cumplimiento de la política y los objetivos del SGSI
y revisar las prácticas de seguridad y privacidad.
2 Realizar auditorías de SGSI a intervalos planificados..

3. Realizar periódicamente una revisión de la gestión del SGSI
para asegurar que el alcance sigue siendo adecuado y que
se identifican mejoras en el proceso del SGSI.
4 Registrar acciones y eventos que podrían tener un impacto

en la eficacia o el rendimiento del SGSI.
5 Hacer aportes para el mantenimiento de los planes de
seguridad para tener en cuenta los hallazgos de las
actividades de monitorización y revisión.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: APO14 — Gestionar los datos Porcentaje Fecha Conclusión
Implementable
Seguridad y Ciberseguridad
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Definir y comunicar la estrategia y los roles y responsabilidades de la gestión de datos de la organización.
Indicadores Asociados: a. Número de violaciones de gestión de datos comparado con la estrategia definida
b. Porcentaje de roles y responsabilidades identificadas para respaldar el gobierno de la gestión de datos y la interacción entre gobierno y la función de gestión de datos.
Fecha
Implementación
1 Establecer una función de gestión de los datos con
responsabilidad de gestionar las actividades que respalden
los objetivos de gestión de los datos.
2 Especificar roles y responsabilidades para respaldar la

gestión de los datos y la interacción entre el gobierno y la
función de gestión de datos.
3. Asegurar que el negocio y la tecnología desarrollan de

forma colaborativa la estrategia de gestión de datos de la
organización. Asegurar que los objetivos, prioridades y
alcance de la gestión de datos reflejen los objetivos
empresariales, sean consistentes con las políticas y
regulación de gestión de datos y cuenten con la aprobación
de todas las partes interesadas.
4 Comunicar los objetivos, prioridades y alcance de la gestión

de datos y ajustarlos conforme sea necesario, con base en
la retroalimentación recibida.
5 Usar métricas para evaluar y monitorizar la consecución de

los objetivos de la gestión de datos.
6. Monitorizar el plan secuencial para la implementación de la
estrategia de gestión de datos. Actualizarla como
corresponda, con base en las revisiones de su progreso.
7. Usar técnicas estadísticas y otras técnicas cuantitativas

para evaluar la eficacia de los objetivos estratégicos de la
gestión de datos a la hora de lograr los objetivos de
negocio. Realizar las modificaciones necesarias, con base
en las métricas.
8. Asegurar que la organización investiga procesos
innovadores de negocio y requisitos regulatorios
emergentes para garantizar que el programa de gestión de
datos sea compatible con futuras necesidades del negocio.
9. Realizar contribuciones a las mejores prácticas de la

industria para el desarrollo e implementación de la
estrategia de gestión de datos.
Práctica de Gobierno (gestión): 02 Definir y mantener un glosario empresarial consistente.
Indicadores Asociados: a. Nivel de aceptación y frecuencia del uso de términos del glosario empresarial en toda la organización.
b. Número de sinónimos para la terminología del glosario de negocio definido que se usan en nuevos esfuerzos de desarrollo.
c. Nivel de granularidad de los términos definidos en el glosario empresarial

1 Asegurar que los términos estándar de negocio estén

disponibles y se comuniquen a las partes interesadas
relevantes.
2 Asegurar que cada término de negocio añadido al glosario

empresarial tenga un nombre y una definición únicos.
3. Usar términos y definiciones de negocio estándar de la

industria, como corresponda, en el glosario empresarial.
4 Establecer, documentar y seguir un proceso para definir,
gestionar, utilizar y mantener el glosario empresarial. Por
ejemplo, las nuevas iniciativas deberían aplicar los términos
estándar de negocio como parte del proceso de definición
de requisitos de datos para garantizar la
consistencia del lenguaje. Esto contribuye a lograr que el
contenido se pueda comparar y facilitar el intercambio de
datos en la organización.
5 Garantizar que el nuevo desarrollo, la integración de datos

y trabajos de consolidación de datos aplican términos
estándar de negocio como parte del proceso de definición
de requisitos de datos.
6. Integrar el glosario empresarial en el repositorio de

metadatos de la organización, con permisos de acceso
adecuados.
Práctica de Gobierno (gestión): 03 Establecer los procesos y la infraestructura para la gestión de metadatos.
Indicadores Asociados: a. Número de imprecisiones identificadas en los metadatos.

b. Porcentaje de metadatos que contienen medidas y métricas para evaluar la precisión y adopción de metadatos.
Implementación
1 Establecer y seguir un proceso de gestión de metadatos.
2 Asegurar que la documentación de metadatos considera las
interdependencias entre los datos.
3. Establecer y seguir categorías, propiedades y estándares de
metadatos.
4 Desarrollar y usar los metadatos para realizar un análisis del
impacto de los posibles cambios en los datos.
5 Poblar el repositorio de metadatos de la organización con
categorías y clasificaciones adicionales de metadatos
conforme a un plan de implementación por fases.
Vincularlo con las capas de arquitectura.
6. Validar los metadatos y cualquier cambio a los metadatos

con la arquitectura actual.
7. Asegurar que la organización haya desarrollado un
metamodelo, integrado implementado en todas las
plataformas.
8. Asegurar que los tipos de metadatos y las definiciones de

datos respaldan prácticas de importación, suscripción y
consumo consistentes.
9. Usar medidas y métricas para evaluar la precisión y la

adopción de los metadatos.
10. Evaluar los cambios de datos planificados para generar un
impacto en el repositorio de metadatos. Mejorar
continuamente los procesos de captura, cambio y
perfeccionamiento de los metadatos.
Práctica de Gobierno (gestión): 04 Definir una estrategia de calidad de los datos.
Indicadores Asociados: a. Número de esfuerzos de mejora de la calidad de los datos identificados y registrados en un plan secuencial
b. Porcentaje de partes interesadas satisfechas con la calidad de los datos.
Fecha
Implementación
1 Definir una estrategia de calidad de los datos en
colaboración con las partes interesadas empresariales y
tecnológicas, aprobada y gestionada por la dirección
ejecutiva. La estrategia debería favorecer pasar del estado
actual al objetivo. También debe alinearse de forma
explícita con los objetivos empresariales y la estrategia de
gestión de datos de la organización.
2 Asegurar que la estrategia de calidad de los datos se

respete en toda la organización y venga acompañada de las
políticas, procesos y directrices correspondientes.
3. Afianzar las políticas, procesos y gobierno de la estrategia
de calidad de los datos durante todo el ciclo de vida de los
datos. Exigir los procesos orrespondientes en la
metodología del ciclo de vida de desarrollo del sistema.
4 Desarrollar, monitorizar y mantener un plan secuencial

para el esfuerzo de mejora de la calidad de los datos en
toda la organización.
5 Para evaluar el progreso, supervisar los planes a fin de

cumplir las metas y objetivos de la estrategia de calidad de
los datos.
6. Recopilar sistemáticamente los informes de las partes

interesadas sobre problemas de calidad de los datos. Incluir
sus expectativas para mejorar la calidad de los datos en la
estrategia de calidad de los datos. Medirlos y
monitorizarlos.
Práctica de Gobierno (gestión): 05 Establecer las metodologías, procesos y herramientas para la creación de perfiles de datos.
Indicadores Asociados: a. Número de plantillas de datos definidas e implementadas y porcentaje de uso

b. Número de conjuntos de datos compartidos con un perfil de datos definido.
Fecha
1 Definir y estandarizar metodologías, procesos, prácticas,

herramientas y plantillas de resultados de perfilado de
datos. Asegurar que los procesos de creación de perfiles
sean reutilizables y aprovechables en distintos almacenes
de datos y repositorios de datos compartidos.
2 Asegurar que la gestión de datos identifique las series de

datos principales compartidas que se monitorizan y perfilan
regularmente
3. En trabajos de creación de perfiles de datos, incluir la

evaluación de conformidad del contenido de los datos con
sus metadatos y estándares aprobados.
4 Durante una actividad de creación de perfiles de datos,

comparar los problemas actuales con los problemas
pronosticados estadísticamente, conforme a los resultados
de creación de perfiles históricos.
5 Garantizar que los resultados se almacenen de forma

central y se analicen y monitoricen sistemáticamente con
respecto a estadísticas y métricas. Proporcionar la
información resultante para mejorar la calidad de los datos
con el tiempo.
6. Crear informes de perfiles en tiempo real o casi en tiempo
real para todas las fuentes y repositorios de datos críticos.
Práctica de Gobierno (gestión): 06 Asegurar un enfoque de evaluación de la calidad de los datos.
Indicadores Asociados: a. Número de problemas identificados en los resultados de evaluaciones de la calidad de los datos.
b. Número de resultados de evaluaciones de la calidad de los datos que incluyen recomendaciones para su remediación
Fecha
1 Realizar de forma periódica evaluaciones de la calidad de

los datos, conforme a una frecuencia aprobada por la
política de evaluación de calidad de los datos. Asegurar que
el gobierno de los datos determine la serie de atributos
clave por área temática para las evaluaciones de calidad de
los datos.
2 Incluir recomendaciones para su remediación , con

explicaciones, en los resultados de evaluaciones de calidad
de los datos.
3. Evaluar la calidad de los datos, usar los umbrales y los

objetivos establecidos para cada dimensión de calidad
seleccionada.
4 Generar informes de medición de la calidad de los datos de

forma sistemática, basados en la criticidad de atributos y la
volatilidad de los datos.
5 Revisar y mejorar continuamente la evaluación de calidad

de los datos y los procesos de generación de informes.
Práctica de Gobierno (gestión): 07 Definir la estrategia de depuración de datos.
Indicadores Asociados: a. Porcentaje de datos depurados correctamente.

b. Porcentaje de SLAs que incluyen criterios de calidad de datos y definen que quienes deben rendir cuentas sobre la depuración de los datos son los proveedores de datos

Implementación
1 Establecer y mantener una política de depuración de datos.
2 Mantener un historial de cambio de datos a través de

actividades de depuración.
3. Establecer métodos para corregir los datos y definir esos
métodos dentro de un plan. Los métodos podrían incluir
diversas comparaciones de repositorios, la verificación con
relación a una fuente válida, comprobaciones lógicas,
integridad referencial o rango de tolerancia.
4 En los acuerdos de nivel de servicio, incluir criterios de

calidad de los datos que definan que quienes rinden
cuentas sobre los datos depurados son los proveedores de
datos.
Práctica de Gobierno (gestión): 08 Gestionar el ciclo de vida de los activos de datos.
Indicadores Asociados: a. Número de requisitos de los consumidores de datos que no pueden correlacionarse con una fuente de datos.
b. Número de conjuntos de datos compartidos.
c. Tiempo transcurrido desde la última comprobación de cumplimiento con relación a la asignación de los procesos empresariales a los datos
Fecha
Implementación
1 Asignar y alinear los requisitos de los consumidores y
productores de datos.
2 Definir las relaciones entre el proceso empresarial y los
datos. Mantenerlas y revisarlas periódicamente para su
cumplimiento.
3. Seguir un proceso definido para los acuerdos de

colaboración con respecto a los datos compartidos y el uso
de datos dentro de los procesos empresariales.
4 Implementar flujos de datos y mapas completos de ciclo de

vida íntegros entre datos y procesos para datos
compartidos para los procesos empresariales importantes a
nivel organizativo.
5. Garantizar que los cambios a las series de datos

compartidos o series de datos objetivo para un fin
empresarial específico se gestionan por estructuras de
gobierno de datos, con la participación de las partes
interesadas relevantes.
6. Usar métricas para ampliar la reutilización de los datos

compartidos aprobados y eliminar la redundancia de
procesos.
Práctica de Gobierno (gestión): 09 Soportar el archivo y retención de datos.
Indicadores Asociados: a. Porcentaje de intentos no exitosos para transferir datos a su archivo.

b. Porcentaje de mantenimientos de datos que cumplen los requisitos organizativos y regulatorios para la disponibilidad de datos históricos y los requisitos legales y regulatorios para el archivado y
retención de datos
Implementación
1 Asegurar que las políticas rijan la gestión de la historia de
datos, incluidos los requisitos de retención, destrucción y
pistas de auditoría
2 Asegurar la existencia de un método definido que garantice

el acceso a los datos históricos necesarios para respaldar
las necesidades empresariales.
3. Usar la política y los procesos para controlar el acceso,

transmisión y modificaciones a datos históricos y
archivados.
4 Asegurar que la organización dispone de un repositorio de

data warehouse que proporcione acceso a datos históricos
para satisfacer las necesidades analíticas y respaldar los
procesos empresariales.
Práctica de Gobierno (gestión): 10 Gestionar los acuerdos de toma de copia de seguridad y restauración de datos.
Indicadores Asociados: a. Porcentaje de intentos fallidos para hacer una copia de seguridad (backup) de datos
b. Porcentaje de intentos satisfactorios para hacer una restauración de un backup de datos.

1 Definir una programación para garantizar una copia de

seguridad (backup) correcta de todos los datos críticos.
2 Definir requisitos para el almacenamiento en las
instalaciones (on-site) y fuera de ellas (off-site) de copias de
seguridad de datos, teniendo en cuenta el volumen,
capacidad y periodo de retención, en línea con los
requisitos empresariales.
3.
Establecer una programación para probar el backup de
datos.. Asegurar que los datos puedan restaurarse de
forma correcta sin un impacto
drástico en el negocio.
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Construir, Adquirir, Implementar Prioridad de Implementación: Etapa 3

Objetivo de Gestión: BAI01 - Gestionar los programas Implementable
Proceso relacionado del Marco Normativo: Gestión de Proyectos que implementan Recursos tecnológicos
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Mantener un enfoque estándar en la gestión de programas
Indicadores Asociados: a.Porcentaje de programas exitosos conforme a la estrategia estándar definida
b.Porcentaje de partes interesadas satisfechas con la gestión de programas
Fecha
Implementación
1 Mantener y hacer cumplir una estrategia estándar de
gestión de programas, alineada con el entorno específico de
la empresa y con buenas prácticas, basadas en procesos
definidos y al uso apropiado de la tecnología. Asegurar que
la estrategia cubra todo el ciclo de vida y las disciplinas a
seguir, incluida la gestión del alcance de , recursos, riesgo,
coste, calidad, tiempo, comunicación, participación de las
partes interesadas, adquisiciones, control de cambio,
integración y obtención de beneficios.
2 Establecer una oficina de programas o una oficina de

gestión de proyectos (PMO) que mantenga una estrategia
estándar para la gestión de programas y proyectos en toda
la organización. La PMO respalda todos los programas y
proyectos mediante la creación y el mantenimiento de
plantillas de documentación de proyectos requeridos,
formación y mejores prácticas para los gestores de
programa/proyecto, seguimiento de las métricas sobre el
uso de las mejores prácticas para la gestión de proyectos,
etc. En algunos casos, la PMO podría también informar del
progreso del programa/proyecto a la alta dirección y/o las
partes interesadas, ayudar a priorizar proyectos y asegurar
que todos los proyectos respaldan los objetivos globales de
negocio de la empresa.
3 Evaluar las lecciones aprendidas con base en el uso de la

estrategia de gestión de programas y actualizar la
estrategia, según sea necesario.
Práctica de Gobierno (gestión): 02 - Iniciar un programa

Indicadores Asociados: a.Porcentaje de iniciativas/proyectos de I&T promovidos por dueño
b.Porcentaje de iniciativas estratégicas con rendición de cuentas a
c. Porcentaje de programas emprendidos sin casos de negocio apr
d.Porcentaje de partes interesadas que aprueban la necesidad empre
Fecha
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
Página 86
1 Acordar el patrocinio del programa. Nombrar un consejo de
administración/comité de programas con los miembros que
tienen un interés estratégico en el programa,
responsabilidad en la toma de decisiones de inversión, que
se verán impactados de forma significativa por el programa
y que deberán facilitar que se produzca el cambio.
2 Nombrar a un gestor dedicado para el programa, con las

competencias y habilidades adecuadas para gestionar el
programa de forma eficaz y eficiente.
3 Confirmar el mandato del programa con los patrocinadores

y las partes interesadas. Articular los objetivos estratégicos
para el programa, las posibles estratégicas para la entregar,
mejora y beneficios esperados, y cómo el programa encaja
con otras iniciativas.
4 Desarrollar un caso de negocio detallado para un programa.

Involucrar a todas las partes interesadas para desarrollar y
documentar una comprensión completa de los resultados
empresariales esperados, cómo se medirán, alcance global
requerido de las iniciativas, riesgo involucrado e impacto en
todos los aspectos de la empresa. Identificar y evaluar
cursos de acción alternativos para lograr los resultados
empresariales deseados.
5 Desarrollar un plan de obtención de beneficios que se

gestionarán a través del programa para asegurar que los
beneficios planificados tengan siempre dueños y se logren,
mantengan y optimicen.
6 Preparar el caso de negocio del programa inicial

(conceptual), proporcionar la información de toma de
decisiones esencial relacionada con el propósito,
contribución a los objetivos del negocio, valor esperado
creado, intervalos de tiempo, etc. Presentarlo para su
aprobación.
Práctica de Gobierno (gestión): 03 - Gestionar el compromiso de la partes interesadas

Indicadores Asociados: a.Nivel de satisfacción de las partes interesadas con su compromiso
b.Porcentaje de partes interesadas involucradas de manera efectiva
Fecha
Implementación
1 Planificar cómo las partes interesadas dentro y fuera de la
empresa se identificarán, analizarán, comprometerán y
gestionarán durante el ciclo de vida de los proyectos.
2 Identificar, comprometer y gestionar a las partes

interesadas mediante el establecimiento y mantenimiento
de los niveles de coordinación, comunicación y relación
adecuadas para garantizar que estén comprometidos en el
programa.
3 Analizar los intereses y requisitos de las partes interesadas.
4 Seguir un proceso definido para los acuerdos de

colaboración con respecto a los datos compartidos y el uso
de datos dentro de los procesos del negocio.
Página 87
Práctica de Gobierno (gestión): 04 - Desarrollar y mantener el plan del programa.
Indicadores Asociados: a.Frecuencia de revisiones de estado del programa que no satisfacen los criterios de valor
b.Porcentaje de programas activos llevados a cabo sin mapas de valor del programa válidas y actualizadas
Fecha
Implementación
1 Especificar la financiación, coste, calendario e
interdependencias de múltiples proyectos.
2 Definir y documentar el plan del programa que cubre todos
los proyectos. Incluir lo necesario para introducir cambios
en la empresa; su propósito, misión, misión, valores, cultura,
productos y servicios; procesos de negocio; habilidades y
número de empleados; relaciones con las partes
interesadas, clientes, proveedores y otros; necesidades
tecnológicas y restructuración organizativa requerida para
lograr los resultados empresariales esperados del programa.
3 Asegurar que haya una comunicación efectiva de los planes

de programa e informes de progresos entre todos los
proyectos y con el programa en su conjunto. Asegurar que
todos los cambios realizados a los planes individuales se
reflejen en los otros planes de programa empresariales.
4 Mantener el plan de programas para garantizar que esté

actualizado y refleje el alineamiento con los objetivos
estratégicos actuales, progreso actual y cambios materiales
de los resultados, beneficios, costes y riesgo. Hacer que la
empresa marque los objetivos y priorice todo el trabajo para
asegurar que el programa, como se ha diseñado, cumpla
con los requisitos de la empresa. Revisar el progreso de los
proyectos individuales y ajustar los proyectos conforme sea
necesario para cumplir con los hitos y las publicaciones
programadas.
5 Durante la vida económica del programa, actualizar y

mantener el caso de negocio y un registro de beneficios
para identificar y definir los beneficios clave que surgen de
llevar a cabo el programa.
6 Preparar un presupuesto para el programa que refleje los

costes del ciclo de vida económico completo y los beneficios
financieros y no financieros asociados.
Práctica de Gobierno (gestión): 05 - Lanzar y ejecutar el programa.

Indicadores Asociados: a.Porcentaje de firmas autorizadas de las partes interesadas para las revisiones de cambio de fase de los programas activos
b.Número de análisis de causas raíz por desviaciones del plan y acciones remediales necesarias abordadas
Fecha
Implementación
1 Planificar, distribuir y encargar los proyectos necesarios
requeridos para lograr los resultados del programa,
conforme a la revisión y aprobaciones de financiación en
cada revisión de cambio de fase.
Página 88
2 Gestionar cada programa o proyecto para asegurar que la
toma de decisiones y las actividades generadas se centran
en el valor mediante la obtención de beneficios para el
negocio y la consecución de metas de forma consistente,
abordando el riesgo y cumpliendo con los requisitos de las
partes interesadas.
3 Establecer las fases acordadas del proceso de desarrollo

(puntos de comprobación del desarrollo). Al final de cada
fase, facilitar debates formales de criterios aprobados con
las partes interesadas. Después de la conclusión exitosa de
la revisión de la funcionalidad, rendimiento y calidad, y
antes de finalizar las actividades de la etapa, obtener una
aprobación y aceptación formal de todas las partes
interesadas y del dueño del proceso negocio/patrocinador.
4 Llevar a cabo un proceso de obtención de beneficios

durante el programa para asegurar que los beneficios
planificados tengan siempre dueños y sea probable que se
logren, mantengan y optimicen. Monitorizar la entrega de
beneficios e informar de los objetivos de rendimiento en las
revisiones de cambio de fase o iteración y publicación.
Realizar análisis de las causas raíz de desviaciones del plan e
identificar y abordar las acciones remediales necesarias.
5 Planificar auditorías, revisiones de calidad, revisiones de

cambio de fase y revisiones de obtención de beneficios.
Práctica de Gobierno (gestión): 06 - Monitorizar, controlar y reportar sobre los resultados del programa.
Indicadores Asociados: a.Porcentaje de beneficios de programas esperados y logrados
b.Porcentaje de programas para los cuales se monitorizo el rendimiento y la acción remedial oportuna se llevó a cabo cuando fue necesario
Fecha
Implementación
1 Actualizar los portafolios operativos de I&T para reflejar los
cambios que resulten del programa en los portafolios de
2 Supervisar y controlar el rendimiento de todo el programa y

los proyectos dentro del programa, incluidas las
contribuciones del negocio y de TI a los proyectos. Informar
de forma oportuna, completa y precisa. El reporte podría
incluir calendario, financiación, funcionalidad, satisfacción
del usuario, controles internos y aceptación de rendición de
cuentas.
3 Monitorizar y controlar el rendimiento con relación a las

estrategias y metas empresariales y de I&T. Reportar a la
dirección sobre los cambios empresariales, implementados,
beneficios obtenidos frente al plan de obtención de
beneficios e idoneidad del proceso de obtención de
beneficios.
4 Monitorizar y controlar los servicios, activos y recursos de TI

creados o modificados como resultado del programa. Tener
en cuenta la implementación y las fechas en servicio.
Informar a la dirección de los niveles de rendimiento, la
prestación sostenida del servicio y la contribución al valor.
Página 89
5 Gestionar el rendimiento del programa con respeto a
criterios clave (p. ej., alcance, calendario, calidad, obtención
de beneficios, costes, riesgo, velocidad), identificar las
desviaciones del plan y llevar a cabo las acciones correctivas
oportunas cuando se precise.
6 Monitorizar el rendimiento individual del proyecto en

relación con la entrega de las capacidades, calendario, logro
de beneficios, costes, riesgos u otras métricas esperadas.
Identificar los impactos potenciales en el rendimiento del
programa y tomar acciones remediales oportunas cuando se
requieran.
7 De acuerdo con los criterios de revisión de cambios de fase,

publicación o iteración, llevar a cabo las revisiones para
reportar sobre el avance del programa para que la dirección
pueda decidir seguir adelante o no, o tomar decisiones de
ajuste y aprobar más financiación hasta el siguiente cambio
de fase, publicación o iteración.
Práctica de Gobierno (gestión): 07 - Gestionar la calidad de programa.

Indicadores Asociados: a.Porcentaje de paquetes de construcción sin errores
b.Porcentaje de entregables del programa aprobados en cada revisión
Fecha
Implementación
1 Identificar las tareas y prácticas de aseguramiento
requeridas para respaldar la acreditación de sistemas
nuevos o modificados durante la planificación del programa
e incluirlos en los planes integrados. Asegurar que las tareas
proporcionen aseguramiento de que los controles internos y
las soluciones de seguridad/privacidad satisfacen los
requisitos definidos.
2 Para proporcionar el aseguramiento de la calidad de los

entregables del programa, identificar la propiedad y las
responsabilidades, los procesos de revisión de la calidad,
criterios de éxito y métricas de rendimiento.
3 Definir los requisitos para la validación y verificación

independiente de la calidad de los entregables en el plan.
4 Realizar actividades de aseguramiento y control de calidad
conforme al plan de gestión de calidad y el SGC.
Práctica de Gobierno (gestión): 08 - Gestionar el riego de un programa.

Indicadores Asociados: a.Número de programas sin una evaluación de riesgos adecuada
b.Porcentaje de programas alineados con el marco empresarial de gestión de riesgos
Fecha
Implementación
1 Establecer una estrategia de gestión de riesgos formal
alineada con el marco de gestión de riesgos empresariales
(ERM). Asegurar que la estrategia incluya la identificación,
análisis, respuesta, mitigación, monitorización y control del
riesgo.
Página 90
2 Asignar a personal con habilidades adecuadas la
responsabilidad de ejecutar el proceso de gestión de riesgos
empresariales dentro de un programa y asegurar que esto
se incorpore a las prácticas de desarrollo de soluciones.
Considerar asignar este rol a un equipo independiente,
sobre todo si se requiere un punto de vista objetivo o si un
programa se considera crítico.
3 Realizar la evaluación de riesgos para identificar y

cuantificar el riesgo de forma continua en todo el programa.
Gestionar y comunicar el riesgo de forma adecuada dentro
de la estructura de gobierno del programa.
4 Identificar a los dueños de las acciones para evitar, aceptar

o mitigar el riesgo.
Práctica de Gobierno (gestión): 09 - Cerrar un programa.

Indicadores Asociados: a.Porcentaje de programas cerrados con éxito que lograron el valor deseado
b.Tiempo entre el lanzamiento del programa y la detección de logro del valor
Fecha
Implementación
1 Cerrar el programa de forma ordenada, incluida la
aprobación formal, disolución de la organización del
programa y soporte de la función, validación de entregables
y comunicación de la retirada.
2 Revisar y documentar las lecciones aprendidas. Cuando se

ha retirado el programa, eliminarlo del portafolio de
inversiones activas. Trasladar cualquier capacidad resultante
a un portafolio de activos operativos para garantizar que
sigue creándose y manteniéndose valor.
3 Establecer la rendición de cuentas y los procesos para

garantizar que la empresa siga optimizando valor del
servicio, activo o recursos. Puede que se requieran
inversiones adicionales en algún momento para garantizar
que esto ocurra.
Página 91
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI02 - Gestionar la definición de requisitos Implementable
Proceso relacionado del Marco Normativo: Desarrollo, Implementación y Mantenimiento de sistema de Información
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Definir y mantener los requisitos funcionales y técnicos del negocio
Indicadores Asociados: a.Porcentaje de requisitos reelaborados debido a la falta de alineación con las necesidades y expectativas de la empresa
b.Porcentaje de los requisitos validados a través de enfoques como revisión realizada por colegas, validación del modelo o construcción de prototipos operativos
Fecha
Implementación
1 Garantizar que todos los requisitos de las partes
interesadas, incluidos los criterios de aceptación relevantes
se consideren, capten, prioricen y registren de forma que
sean comprensibles para todas las partes interesadas,
reconociendo que los requisitos podrían cambiar y ser más
detallados conforme se implementen.
2 Expresar los requisitos del negocio en términos de cómo

debe abordarse la brecha entre las capacidades
empresariales actuales y deseadas y cómo el usuario
(empleado, cliente, et.) interactuará con la solución y la
utilizará.
3 Especificar y priorizar los requisitos de información,

funcionales y técnicos, conforme al diseño de la experiencia
de usuario y los requisitos confirmados de las partes
interesadas
4 Asegurar que los requisitos cumplan con las políticas y

estándares empresariales, arquitectura empresarial, planes
estratégicos y tácticos de I&T, procesos de negocios y de TI
internos y externalizados, requisitos de seguridad, requisitos
regulatorios, competencias del personal, estructura
organizativa, caso de negocio y tecnología facilitadora.
5 Incluir requisitos de control de la información en los

procesos del negocio, procesos automatizados y entornos
de I&T para abordar el riesgo de la información y cumplir
con la legislación, regulaciones y contratos comerciales.
6 Confirmar la aceptación de aspectos clave de los requisitos,

incluidos las reglas empresariales, experiencia de usuario,
controles de información, continuidad del negocio,
cumplimiento legal y regulatorio, auditoría, ergonomía,
operatividad y usabilidad, seguridad, confidencialidad y
documentación de soporte.
Página 92
7 Hacer un seguimiento y control del alcance, requisitos y los
cambios durante todo el ciclo de vida de la solución, a
medida que evoluciona la comprensión de la solución.
8 Definir e implementar un procedimiento para la definición y

el mantenimiento de los requisitos, así como un repositorio
de requisitos que sean apropiados para el tamaño,
complejidad, objetivos y riesgo de la iniciativa que la
empresa considera llevar a cabo.
9 Validar todos los requisitos a través de enfoques como la

revisión realizada por colegas validación del modelo o
construcción de prototipos operativos
Práctica de Gobierno (gestión): 02 -Realizar un estudio de factibilidad y formular soluciones alternativas

Indicadores Asociados: a.Porcentaje de objetivos del caso de negocio satisfechos por la solución propuesta
b.Porcentaje de requisitos satisfechos por la solución propuesta
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad Implementable Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar las acciones requeridas para la adquisición o
desarrollo de soluciones conforme a la arquitectura
empresarial. Tener en cuenta las limitaciones de alcance y/o
plazo y/o presupuesto.
2 Revisar las soluciones alternativas con todas las partes

interesadas. Seleccionar la más apropiada con base en
criterios de factibilidad, incluyendo el riesgo y el coste.
3 Trasladar el curso de acción preferido a un plan de

adquisición/desarrollo de alto nivel que identifique los
recursos que se usarán y las etapas que requieran la
decisión de seguir o no seguir adelante.
4 Definir y ejecutar un estudio de factibilidad, piloto o

solución de trabajo básica que describa de forma clara y
concisa las soluciones y medidas alternativas y cómo estas
satisfarán los requisitos funcionales y del negocio. Incluir
una evaluación de su factibilidad tecnológica y económica.
Práctica de Gobierno (gestión): 03 - Gestionar el riesgo de los requisitos

Indicadores Asociados: a.Porcentaje de riesgos de los requisitos no cubiertos por una adecuada respuesta al riesgo
b. Nivel de detalle del riesgo de los requisitos documentado
c. Qué tan completa es la probabilidad estimada y el impacto del riesgo de los
Fecha
Actividad requisitos y las respuestas al riesgo enumerados Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar el riesgo de requisitos de calidad, funcionales y
técnica (debido, por ejemplo, a la falta de participación del
usuario, expectativas poco realistas, a los desarrolladores
añadiendo una funcionalidad innecesaria, hipótesis poco
realistas, etc.).
2 Determinar una respuesta apropiada al riesgo para el riesgo

de los requisitos.
Página 93
3 Analizar el riesgo identificado estimando su probabilidad y
su impacto en el presupuesto y en el calendario. Evaluar el
impacto en el presupuesto de las adecuadas acciones de
respuesta al riesgo.
Práctica de Gobierno (gestión): 04 - Obtener la aprobación de requisitos y soluciones

Indicadores Asociados: a.Nivel de satisfacción de las partes interesadas con los requisitos
b.Número de excepciones de la solución observadas durante la etapa de las revisiones.
c.Porcentaje de partes interesadas que no aprueban la solución en relación con el caso de negocio

1 Asegurar que el patrocinador del negocio o dueño del

producto realice la elección final de la solución, estrategia
de adquisición y diseño de alto nivel, de acuerdo con el caso
de negocio. Obtener las aprobaciones necesarias de las
partes interesadas afectadas (p. ej. dueño del proceso de
negocio, arquitecto empresarial, director de operaciones,
director de seguridad de la información, director de
privacidad).
2 Obtener revisiones de calidad durante y al final de cada

etapa, iteración o liberación clave del proyecto. Evaluar los
resultados en comparación con los criterios de aceptación
inicial. Contar con la aceptación de los patrocinadores del
negocio y de otras partes interesadas en cada revisión de
calidad satisfactoria.
Práctica de Gobierno (gestión): 05 - Lanzar y ejecutar el programa.

Indicadores Asociados: a.Porcentaje de firmas autorizadas de las partes interesadas para las revisiones de cambio de fase de los programas activos
b.Número de análisis de causas raíz por desviaciones del plan y acciones remediales necesarias abordadas
Fecha
Implementación
1 Planificar, distribuir y encargar los proyectos necesarios
requeridos para lograr los resultados del programa,
conforme a la revisión y aprobaciones de financiación en
cada revisión de cambio de fase.
2 Gestionar cada programa o proyecto para asegurar que la

toma de decisiones y las actividades generadas se centran
en el valor mediante la obtención de beneficios para el
negocio y la consecución de metas de forma consistente,
abordando el riesgo y cumpliendo con los requisitos de las
partes interesadas.
Página 94
3 Establecer las fases acordadas del proceso de desarrollo
(puntos de comprobación del desarrollo). Al final de cada
fase, facilitar debates formales de criterios aprobados con
las partes interesadas. Después de la conclusión exitosa de
la revisión de la funcionalidad, rendimiento y calidad, y
antes de finalizar las actividades de la etapa, obtener una
aprobación y aceptación formal de todas las partes
interesadas y del dueño del proceso negocio/patrocinador.
4 Llevar a cabo un proceso de obtención de beneficios

durante el programa para asegurar que los beneficios
planificados tengan siempre dueños y sea probable que se
logren, mantengan y optimicen. Monitorizar la entrega de
beneficios e informar de los objetivos de rendimiento en las
revisiones de cambio de fase o iteración y publicación.
Realizar análisis de las causas raíz de desviaciones del plan e
identificar y abordar las acciones remediales necesarias.
5 Planificar auditorías, revisiones de calidad, revisiones de

cambio de fase y revisiones de obtención de beneficios.
Práctica de Gobierno (gestión): 06 - Monitorizar, controlar y reportar sobre los resultados del programa.
Indicadores Asociados: a.Porcentaje de beneficios de programas esperados y logrados
b.Porcentaje de programas para los cuales se monitorizo el rendimiento y la acción remedial oportuna se llevó a cabo cuando fue necesario

1 Actualizar los portafolios operativos de I&T para reflejar los

cambios que resulten del programa en los portafolios de
2 Supervisar y controlar el rendimiento de todo el programa y

los proyectos dentro del programa, incluidas las
contribuciones del negocio y de TI a los proyectos. Informar
de forma oportuna, completa y precisa. El reporte podría
incluir calendario, financiación, funcionalidad, satisfacción
del usuario, controles internos y aceptación de rendición de
cuentas.
3 Monitorizar y controlar el rendimiento con relación a las

estrategias y metas empresariales y de I&T. Reportar a la
dirección sobre los cambios empresariales, implementados,
beneficios obtenidos frente al plan de obtención de
beneficios e idoneidad del proceso de obtención de
beneficios.
4 Monitorizar y controlar los servicios, activos y recursos de TI

creados o modificados como resultado del programa. Tener
en cuenta la implementación y las fechas en servicio.
Informar a la dirección de los niveles de rendimiento, la
prestación sostenida del servicio y la contribución al valor.
Página 95
5 Gestionar el rendimiento del programa con respeto a
criterios clave (p. ej., alcance, calendario, calidad, obtención
de beneficios, costes, riesgo, velocidad), identificar las
desviaciones del plan y llevar a cabo las acciones correctivas
oportunas cuando se precise.
6 Monitorizar el rendimiento individual del proyecto en

relación con la entrega de las capacidades, calendario, logro
de beneficios, costes, riesgos u otras métricas esperadas.
Identificar los impactos potenciales en el rendimiento del
programa y tomar acciones remediales oportunas cuando se
requieran.
7 De acuerdo con los criterios de revisión de cambios de fase,

publicación o iteración, llevar a cabo las revisiones para
reportar sobre el avance del programa para que la dirección
pueda decidir seguir adelante o no, o tomar decisiones de
ajuste y aprobar más financiación hasta el siguiente cambio
de fase, publicación o iteración.
Práctica de Gobierno (gestión): 07 - Gestionar la calidad de programa.

Indicadores Asociados: a.Porcentaje de paquetes de construcción sin errores
b.Porcentaje de entregables del programa aprobados en cada revisión

Implementación Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones

nuevos o modificados durante la planificación del programa
e incluirlos en los planes integrados. Asegurar que las tareas
proporcionen aseguramiento de que los controles internos y
las soluciones de seguridad/privacidad satisfacen los
requisitos definidos.

entregables del programa, identificar la propiedad y las
responsabilidades, los procesos de revisión de la calidad,

Práctica de Gobierno (gestión): 08 - Gestionar el riego de un programa.

Indicadores Asociados: a.Número de programas sin una evaluación de riesgos adecuada
b.Porcentaje de programas alineados con el marco empresarial de gestión de riesgos

1 Establecer una estrategia de gestión de riesgos formal

alineada con el marco de gestión de riesgos empresariales
(ERM). Asegurar que la estrategia incluya la identificación,
análisis, respuesta, mitigación, monitorización y control del
riesgo.
Página 96
2 Asignar a personal con habilidades adecuadas la
empresariales dentro de un programa y asegurar que esto
se incorpore a las prácticas de desarrollo de soluciones.
Considerar asignar este rol a un equipo independiente,
sobre todo si se requiere un punto de vista objetivo o si un
programa se considera crítico.
3 Realizar la evaluación de riesgos para identificar y

cuantificar el riesgo de forma continua en todo el programa.
Gestionar y comunicar el riesgo de forma adecuada dentro
de la estructura de gobierno del programa.
4 Identificar a los dueños de las acciones para evitar, aceptar

o mitigar el riesgo.
Práctica de Gobierno (gestión): 09 - Cerrar un programa.

Indicadores Asociados: a.Porcentaje de programas cerrados con éxito que lograron el valor deseado
b.Tiempo entre el lanzamiento del programa y la detección de logro del valor
Fecha
Implementación
1 Cerrar el programa de forma ordenada, incluida la
aprobación formal, disolución de la organización del
programa y soporte de la función, validación de entregables
y comunicación de la retirada.
2 Revisar y documentar las lecciones aprendidas. Cuando se

ha retirado el programa, eliminarlo del portafolio de
inversiones activas. Trasladar cualquier capacidad resultante
a un portafolio de activos operativos para garantizar que
sigue creándose y manteniéndose valor.
3 Establecer la rendición de cuentas y los procesos para

garantizar que la empresa siga optimizando valor del
servicio, activo o recursos. Puede que se requieran
inversiones adicionales en algún momento para garantizar
que esto ocurra.
Página 97
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI03 - Gestionar la identificación y construcción de soluciones Implementable
Proceso relacionado del Marco Normativo: Desarrollo, Implementación y Mantenimiento de sistema de Información
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 -Diseño de soluciones de alto nivel

Indicadores Asociados: a. Número de deficiencias de la revisión del diseño
b. Porcentaje de participación de las partes interesadas en el diseño y la aprobación de cada versión.
Fecha
Implementación
1 Establecer una especificación de diseño de alto nivel que
traslade la solución propuesta a un diseño de alto nivel para
los procesos de negocio, los servicios que los soportan,
flujos de trabajo, aplicaciones, infraestructura y repositorios
de información capaces de satisfacer los requisitos del
negocio y de la arquitectura empresarial.
2 Involucrar a diseñadores con experiencia con el usuario y

especialistas de TI bien calificados y experimentados en el
proceso de diseño para garantizar que el diseño
proporcione una solución que use de forma óptima las
capacidades propuestas de I&T para mejorar el proceso de
negocio.
3 Crear un diseño que cumpla con los estándares de diseño de

la organización. Asegurar que mantiene un nivel de detalle
adecuado para la solución y el método de desarrollo y
consistente con las estrategias de negocio, empresariales y
de I&T, arquitectura empresarial, plan de
seguridad/privacidad y legislaciones, regulaciones y
contratos aplicables.
4 Después de la aprobación del aseguramiento de calidad,

enviar el diseño de alto nivel final a las partes interesadas
del proyecto y al patrocinador/dueño del proceso de
negocio para su aprobación, conforme a los criterios
acordados. Este diseño evolucionará a lo largo del proyecto
a medida que aumente su comprensión.
Práctica de Gobierno (gestión): 02 -Diseñar componentes detallados para la solución

Indicadores Asociados: a.Número de deficiencias en la solución del diseño
b.Número de cambios de diseño en proceso
Fecha
Implementación
Página 98
1 Diseñar progresivamente las actividades del proceso de
negocio y los flujos de trabajo que deben realizarse junto
con el nuevo sistema de aplicación para satisfacer los
objetivos empresariales, incluido el diseño de las actividades
de control manual.
2 Diseñar los pasos del procesamiento de la aplicación. Estos

pasos incluyen la especificación de los tipos de transacción y
reglas de procesamiento del negocio, controles
automatizados, definiciones de datos/objetos del negocio,
casos de uso, interfaces externas, limitaciones del diseño y
otros requisitos (p. ej. licenciamiento, legales, estándares e
internacionalización/localización).
3 Clasificar las entradas y salidas de datos conforme a los

estándares de la arquitectura empresarial. Especificar el
diseño de recopilación de datos fuente. Documentar las
entradas de datos (independientemente de la fuente) y la
validación de las transacciones del procesamiento, así como
los métodos de validación. Diseñar las salidas identificadas,
incluidas las fuentes de datos.
4 Diseñar la interfaz del sistema/solución, incluido cualquier

intercambio automático de datos.
5 Diseñar el almacenamiento, ubicación, recuperación y
mecanismos de recuperación de los datos.
6 Diseñar la redundancia, recuperación y copias de seguridad
adecuadas.
7 Diseñar la interfaz entre el usuario y la aplicación del
sistema para que sea fácil de usar y sea auto documentada.
8 Considerar el impacto de la necesidad de la solución en el

rendimiento de la infraestructura, con sensibilidad respecto
al número de activos de cómputo, intensidad del ancho de
banda y sensibilidad temporal de la información.
9 Evaluar proactivamente las debilidades del diseño (p. ej.,

inconsistencias, falta de claridad, posibles fallos) a lo largo
del ciclo de vida. Identificar las mejoras cuando sea
necesario.
10 Proporcionar la capacidad para auditar transacciones e

identificar las causas raíz de los errores de procesamiento.
Práctica de Gobierno (gestión): 03 - Desarrollar los componentes de la solución

Indicadores Asociados: a. Número de excepciones al diseño de la solución observadas durante la etapa de revisión.
b.Número de diseños detallados para los procesos del negocio, servicios de soporte, aplicaciones e infraestructura y repositorios de información
Fecha
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación
1 Dentro de un entorno separado, desarrollar el diseño
detallado propuesto para los procesos de negocio, servicios
de soporte, aplicaciones, infraestructura y repositorios de
información.
Página 99
2 Cuando los terceros están involucrados con el desarrollo de
soluciones, garantizar que el mantenimiento, soporte,
estándares de desarrollo y el licenciamiento se aborda y se
cumple con las obligaciones contractuales.
3 Hacer un seguimiento de las peticiones de cambio y de las

revisiones de diseño, desempeño y calidad. Asegurar la
participación activa de todas las partes interesadas
afectadas.
4 Documentar todos los componentes de la solución

conforme a los estándares definidos. Mantener un control
de versiones sobre todos los componentes desarrollados y
la documentación asociada.
5 Evaluar el impacto de la personalización y configuración de

la solución en el rendimiento y la eficiencia de las soluciones
adquiridas y en la interoperabilidad con las aplicaciones,
sistemas operativos y otra infraestructura existente.
Adaptar procesos de negocio cuando sea necesario para
aprovechar la capacidad de la aplicación.
6 Garantizar que las responsabilidades de usar componentes

de infraestructura de alta seguridad o de acceso restringido
estén claramente definidas y sean comprendidas por
aquellos que desarrollan e integran los componentes de
infraestructura. Es necesario monitorizar e informar sobre
su uso.
Práctica de Gobierno (gestión): 04 - Adquirir los componentes de la solución

Indicadores Asociados: a. Porcentaje de proveedores certificados
b.Porcentaje de proveedores involucrados en el diseño colaborativo
Fecha
Implementación
1 Crear y mantener un plan para la adquisición de
componentes de la solución. Considerar su flexibilidad
futura para las nuevas incorporaciones de capacidad, los
costes de transición, el riesgo y las actualizaciones durante
la vida del proyecto.
2 Revisar y aprobar todos los planes de adquisiciones.

Considerar el riesgo, costes, beneficios y conformidad
técnica con los estándares de arquitectura empresarial.
3 }Evaluar y documentar hasta qué punto las soluciones

adquiridas necesitan adaptarse al proceso de negocio para
obtener los beneficios de la solución adquirida.
4 Seguir las aprobaciones requeridas en momentos clave de

toma de decisiones durante los procesos de adquisición.
5 Registrar en un inventario de activos la recepción de todas

las adquisiciones de infraestructura y software.
Práctica de Gobierno (gestión): 05 - Contruir soluciones

Indicadores Asociados: a. Brecha entre el esfuerzo de desarrollo estimado frente al esfuerzo de desarrollo final
b. Número de problemas de software comunicados
c. Número de errores revisados
Página 100
Fecha
Implementación
1 Integrar y configurar los componentes de negocio y de la
solución de TI y los repositorios de la información de
acuerdo con las especificaciones detalladas y los requisitos
de calidad. Considerar el rol de los usuarios, partes
interesadas de la empresa y dueño del proceso en la
configuración de los procesos del negocio.
2 Completar y actualizar los manuales del proceso de negocio

y los manuales operativos, cuando sea necesario, para
incluir la personalización o condiciones especiales únicas
para la implementación.
3 Considerar todos los requisitos de control de la información

relevante en la integración y configuración de los
componentes de la solución. Incluir la implementación de
controles de negocio, donde corresponda, en los controles
automáticos de aplicación, para que el procesamiento sea
preciso, completo, oportuno, autorizado y auditable.
4 Implementar pistas de auditoría durante la configuración y

durante la integración del hardware y el software de
infraestructura, para proteger los recursos y asegurar su
disponibilidad e integridad.
5 Considerar cuando el efecto de las personalizaciones y

configuraciones acumuladas (incluidos los cambios menores
que no estaban sujetos a especificaciones formales del
diseño) requiere una revaluación de alto nivel de la solución
y la funcionalidad asociada.
6 Configurar el software de la aplicación adquirido para

satisfacer los requisitos de procesamiento del negocio.
7 Definir los catálogos de productos y servicios para grupos
objetivos internos y externos relevantes, conforme a los
requisitos del negocio.
8 Garantizar la interoperabilidad de los componentes de la

solución con pruebas de soporte, preferiblemente
automáticas.
Práctica de Gobierno (gestión): 06 - Realizar el aseguramiento de calidad (QA)

Indicadores Asociados: a. Número de diseños de soluciones reelaboradas debido a la falta de alineación con los requisitos
b. Número y solidez de las actividades documentadas de supervisión realizadas
Fecha
* Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación
1 Definir un plan de aseguramiento de la calidad, incluidos,
por ejemplo, la especificación de los criterios de calidad,
procesos de validación y verificación, definición sobre cómo
se revisará la calidad, cualificaciones necesarias de los
revisores de la calidad, y roles y responsabilidades para
lograr la calidad.
Página 101
2 Supervisar frecuentemente la calidad de la solución
conforme a los requisitos del proyecto, políticas
empresariales, cumplimiento de las metodologías de
desarrollo, procedimientos de gestión de calidad y criterios
de aceptación.
3 Emplear, como corresponda, la inspección de código,

prácticas de desarrollo a base de pruebas, pruebas
automáticas, integración continua, pruebas de recorrido y
pruebas de las aplicaciones. Informar sobre los resultados
del proceso de supervisión y las pruebas al equipo de
desarrollo de software de aplicación y la dirección de TI.
4 Supervisar todas las excepciones de calidad y abordar todas

las acciones correctivas. Mantener un registro de todas las
revisiones, resultados, excepciones y correcciones. Repetir
revisiones de calidad, cuando sea necesario, basadas en la
cantidad de trabajo que debe volverse a realizar y las
acciones correctivas.
Práctica de Gobierno (gestión): 07 - Preparar las pruebas de la solución

Indicadores Asociados: a. Número de usuarios del negocio involucrados en la construcción de un plan de pruebas
b. Número y solidez de los casos de uso creados para las pruebas
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación
1 Crear un plan integrado de prácticas y pruebas que se
corresponda con el entorno empresarial y los planes
estratégicos de tecnología. Asegurar que el plan integrado
de prácticas y pruebas permita la construcción de entornos
de pruebas y simulación adecuados para ayudar a
comprobar que la solución funcione correctamente en el
entorno real y entregue los resultados deseados, y que los
controles sean adecuados.
2 Crear un entorno de pruebas que apoye todo el alcance de

la solución. Asegurar que el entorno de pruebas refleje, lo
más fielmente posible, las condiciones del mundo real,
incluidos los procesos y procedimientos del negocio, la
totalidad de usuarios, tipos de transacciones y condiciones
para el despliegue.
3 Crear procedimientos de pruebas alineados con el plan y las

prácticas y permitir la evaluación del funcionamiento de la
solución en condiciones reales. Asegurar que los
procedimientos de las pruebas evalúen la idoneidad de los
controles, conforme a los estándares generales de la
empresa que definen roles, responsabilidades y criterios de
pruebas, y que sean aprobados por las partes interesadas
del proyecto y el patrocinador/dueño del proceso de
negocio.
4 Documentar y guardar los procedimientos de prueba, casos,

controles y parámetros para las pruebas futuras de la
aplicación.
Página 102
Práctica de Gobierno (gestión): 08 - Ejecutar las pruebas de la solución
Indicadores Asociados: a. Número de errores encontrados durante la prueba
b. Tiempo y esfuerzo para completar las pruebas
Fecha
Compromiso
Implementación
1 Llevar a cabo las pruebas de soluciones y sus componentes,
conforme al plan de pruebas. Incluir probadores
independientes del equipo de la solución, con dueños del
proceso de negocio y usuarios finales representativos.
Asegurar que las pruebas se realicen solo dentro de los
entornos de pruebas y desarrollo.
2 Usar instrucciones de pruebas claramente definidas,

conforme a los establecido en el plan de pruebas.
Considerar el equilibrio adecuado entre las pruebas
automatizadas y las pruebas interactivas del usuario.
3 Llevar a cabo todas las pruebas conforme al plan y prácticas

de prueba. Incluir la integración de los procesos de negocio
y los componentes de la solución de TI y requisitos no
funcionales (p. ej., seguridad, privacidad, interoperabilidad,
usabilidad).
4 Identificar, registrar y clasificar los errores (p. ej. menores,

significativos, de misión crítica) durante las pruebas. Repetir
las pruebas hasta que se hayan resuelto todos los errores
significativos. Asegurar que se mantenga pistas de auditoría
de los resultados de las pruebas.
5 Registrar los resultados de las pruebas y comunicarlos a las

partes interesadas conforme al plan de pruebas.
Práctica de Gobierno (gestión): 09 - Gestionar los cambios a los requisitos

Indicadores Asociados: a. Número de cambios a los que se les hizo seguimiento, y que fueron aprobados que generan nuevos errores
b. Porcentaje de partes interesadas satisfechas con los procesos de gestión de cambios
Fecha
Implementación
1 Evaluar el impacto de todas las peticiones de cambio
durante el desarrollo de la solución, el caso de negocio
original y el presupuesto. Clasificarlas y priorizarlas
conforme sea necesario.
2 Hacer un seguimiento de los cambios a los requisitos, que

permita a todas las partes interesadas supervisar, revisar y
aprobar los cambios. Asegurar que los resultados del
proceso de cambio sean entendidos y acordados en su
totalidad por todas las partes interesadas y el
patrocinador/dueño del proceso de negocio.
Página 103
3 Aplicar solicitudes de cambio, manteniendo la integridad de
la combinación y configuración de los componentes de la
solución. Evaluar el impacto de cualquier actualización
mayor de la solución y clasificarla conforme a los criterios
objetivos acordados (por ejemplo, requisitos de la empresa),
según el resultado del análisis de riesgos (como el impacto
en los sistemas y procesos actuales o la
seguridad/privacidad), la justificación del coste-beneficio y
otros requisitos.
Práctica de Gobierno (gestión): 10 - Mantener las soluciones

Indicadores Asociados: a. Número de demandas de mantenimiento no satisfechas
Duración de las demandas de mantenimiento que se satisfacen y no se satisfacen
Fecha
Implementación
1 Desarrollar y ejecutar un plan para mantener los
componentes de la solución. Incluir revisiones periódicas
frente a las necesidades del negocio y los requisitos
operativos, como gestión de parches, estrategias de
actualización, riesgo, privacidad, análisis de vulnerabilidades
y requisitos de seguridad.
2 Evaluar la importancia de una actividad de mantenimiento

propuesta sobre el diseño, funcionalidad y/o procesos de
negocio de la solución actual. Considerar el riesgo, el
impacto en el usuario y la disponibilidad de recursos.
Asegurar que los dueños del proceso de negocio entiendan
el efecto de los cambios designados como mantenimiento.
3 En el caso de cambios mayores a las soluciones actuales que

deriven en un cambio significativo en los diseños y/o
funcionalidad y/o procesos de negocio actuales, seguir el
proceso de desarrollo utilizado para nuevos sistemas. En el
caso de actualizaciones de mantenimiento, usar el proceso
de gestión de cambios.
4 Asegurar que el patrón y volumen de las actividades de

mantenimiento se analice periódicamente para ver si hay
tendencias anormales que indiquen problemas subyacentes
en la calidad o rendimiento, en el coste/beneficio de
actualizaciones mayores, o en la sustitución en lugar del
mantenimiento.
Práctica de Gobierno (gestión): 11 - Definir productos y servicios de TI y mantener el portafolio de servicios

Indicadores Asociados: a. Porcentaje de partes interesadas que aprueban los nuevos servicios de I&T
b. Porcentaje de definiciones y opciones de nivel de servicio nuevas o modificadas que están documentadas en el portafolio de servicios.
c. Porcentaje de definiciones y opciones de nivel de servicio nuevas o modificadas que están actualizadas en el portafolio de servicios.
Fecha
Implementación
Página 104
1 Proponer definiciones de los productos y servicios de TI
nuevos o modificados para asegurar que cumplan con su
propósito. Documentar las definiciones propuestas que se
desarrollarán en la lista del portafolio de productos y
servicios.
2 Proponer opciones de nivel de servicio (tiempos de servicio,

satisfacción del usuario, disponibilidad, rendimiento,
capacidad, seguridad, privacidad, continuidad,
cumplimiento y usabilidad) nuevas o modificadas para
asegurar que los productos y servicios de TI sean
adecuados. Documentar las opciones de servicio propuestas
en el portafolio.
3 Mediar con las direcciones de relaciones del negocio de

gestión de portafolio para acordar las definiciones
propuestas de productos y servicios y las opciones de nivel
de servicio.
4 Si los cambios en productos o servicios caen en el alcance

de la autoridad de aprobación acordada, crear productos o
servicios de TI u opciones de nivel de servicio nuevos o
modificados. De no ser así, comunicar el cambio a la gestión
de portafolio para que revise la inversión.
Práctica de Gobierno (gestión): 12 - Diseñar soluciones conforme a la metodología de desarrollo definida

Indicadores Asociados: a. Porcentaje de proyectos de desarrollo de soluciones que aplican las metodologías de desarrollo seleccionadas
b. Porcentaje de procesos adaptados a la estrategia elegida
Fecha
Compromiso
Implementación
1 Analizar y evaluar el impacto de elegir una metodología de
desarrollo (es decir, en cascada, Agile, bimodal) sobre los
recursos disponibles, los requisitos de la arquitectura, los
ajustes de la configuración y la rigidez del sistema.
2 Establecer la metodología de desarrollo adecuada y la

estrategia organizativa que lleve a cabo la solución
propuesta de forma eficaz y eficiente y que sea capaz de
satisfacer los requisitos de la empresa, arquitectura y
sistema. Adaptar los procesos a la estrategia elegida como
corresponda.
3 Establecer los equipos de proyecto necesarios conforme a lo

definido en la metodología de desarrollo elegida.
Proporcionar la formación suficiente.
4 Considerar la aplicación de un sistema dual, si fuera

necesario, en el que grupos transversales (fábricas digitales)
se centren en desarrollar un producto o proceso con una
metodología tecnológica, operativa o gerencial distinta al
resto de la compañía. Integrar estos grupos en las unidades
de negocio tiene la ventaja de extender la nueva cultura del
desarrollo ágil y hacer que esta fábrica digital se acerque
cada vez más a la norma.
Página 105
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Construir, Adquirir, Implementar

Objetivo de Gestión: BAI04 - Gestionar la disponibilidad y la capacidad Prioridad de Implementación: Etapa 1
Proceso relacionado del Marco Normativo: Desarrollo, Implementación y Mantenimiento de sistema de Información Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 -Evaluar la disponibilidad, rendimiento y capacidad actuales, y crear una línea de referencia
Indicadores Asociados: a. Porcentaje de uso real de la capacidad
b. Porcentaje de disponibilidad real
b. Porcentaje de rendimiento real
Fecha
Implementación
1 Establecer una especificación de diseño de alto nivel que
traslade la solución propuesta a un diseño de alto nivel para
los procesos de negocio, los servicios que los soportan,
flujos de trabajo, aplicaciones, infraestructura y repositorios
de información capaces de satisfacer los requisitos del
negocio y de la arquitectura empresarial.
2 Involucrar a diseñadores con experiencia con el usuario y

especialistas de TI bien calificados y experimentados en el
proceso de diseño para garantizar que el diseño
proporcione una solución que use de forma óptima las
capacidades propuestas de I&T para mejorar el proceso de
negocio.
3 Crear un diseño que cumpla con los estándares de diseño de

la organización. Asegurar que mantiene un nivel de detalle
adecuado para la solución y el método de desarrollo y
consistente con las estrategias de negocio, empresariales y
de I&T, arquitectura empresarial, plan de
seguridad/privacidad y legislaciones, regulaciones y
contratos aplicables.
4 Después de la aprobación del aseguramiento de calidad,

enviar el diseño de alto nivel final a las partes interesadas
del proyecto y al patrocinador/dueño del proceso de
negocio para su aprobación, conforme a los criterios
acordados. Este diseño evolucionará a lo largo del proyecto
a medida que aumente su comprensión.
Práctica de Gobierno (gestión): 02 - Evaluar el impacto en el negocio

Indicadores Asociados: a. Número de escenarios creados para evaluar situaciones de disponibilidad futuras
b. Porcentaje de dueños de procesos de negocio que aprueban los resultados del análisis
Fecha
Implementación
Página 106
1 Identificar solo aquellas soluciones o servicios que sean
críticos en el proceso de gestión de capacidad y
disponibilidad.
2 Asignar las soluciones y servicios seleccionados a la

aplicación o aplicaciones y a la infraestructura (TI e
instalaciones) de la que dependen para poder centrarse en
recursos críticos para la planificación de la disponibilidad.
3 Recopilar datos sobre patrones de disponibilidad a partir de

los logs de fallos pasados y de monitorización del
rendimiento. Usar herramientas de modelamiento que
ayuden a predecir los fallos basándose en las tendencias
pasadas de uso y las expectativas de la gerencia acerca de
nuevas condiciones del entorno o de los usuarios.
4 Con base en los datos recopilados, crear escenarios que

describan situaciones de disponibilidad futuras que ilustren
distintos niveles de capacidad posibles, necesarios para
lograr el objetivo de rendimiento de la disponibilidad.
5 Con base en los escenarios, determinar la probabilidad de

que no se alcance el objetivo de rendimiento de la
disponibilidad.
6 Determinar el impacto de los escenarios en las medidas de

rendimiento del negocio (p. ej., ingresos, beneficios,
servicios al cliente). Involucrar a los líderes regionales,
funcionales (sobre todo de finanzas) y de la línea del
negocio para entender su evaluación del impacto.
7 Asegurar que los dueños de los procesos de negocio

entiendan y estén completamente de acuerdo con los
resultados de este análisis. Obtener de los dueños del
negocio una lista de escenarios de riesgos inaceptables que
requieran una respuesta para reducir el riesgo a niveles
aceptables.
Práctica de Gobierno (gestión): 03 - Planificar los requisitos de los servicios nuevos o modificados
Indicadores Asociados: a. Número de actualizaciones no planificadas de capacidad, rendimiento o disponibilidad
b. Porcentaje comparaciones realizadas por la dirección sobre la demanda actual de recursos contra la oferta y demanda estimadas
Fecha
Implementación
1 Identificar las implicaciones en la disponibilidad y capacidad
de las necesidades cambiantes del negocio y de las
oportunidades de mejora. Usar técnicas de modelamiento
para validar los planes de disponibilidad, rendimiento y
capacidad.
2 Revisar las implicaciones del análisis de tendencia de

servicios sobre la disponibilidad y la capacidad.
3 Garantizar que la dirección realice comparaciones de la
demanda real de recursos contra la oferta y demanda
estimadas para evaluar las técnicas de predicción actuales e
implementar mejoras donde sea necesario.
4 Priorizar las mejoras necesarias y crear planes de

disponibilidad y capacidad que justifiquen el coste.
Página 107
5 Ajustar los planes de rendimiento y capacidad y los SLA con
base en los cambios en los procesos de negocio, servicios de
soporte, aplicaciones e infraestructura realistas, nuevos,
propuestos y/o proyectados. Incluir también revisiones del
uso real de la capacidad y del rendimiento, incluidos los
niveles de carga de trabajo.
Práctica de Gobierno (gestión): 04 - Monitorizar y revisar la disponibilidad y la capacidad

Indicadores Asociados: a. Número de eventos que exceden los límites de capacidad planificados
b. Número de picos de transacciones que exceden el rendimiento objetivo
Fecha
Implementación
1 Proporcionar informes de capacidades a los procesos de
presupuesto
2 Establecer un proceso de recopilación de datos para
proporcionar a la dirección información de monitorización e
informes sobre la disponibilidad, el rendimiento y la carga
de trabajo de capacidad de todos los recursos relacionados
con I&T.
3 Proporcionar en forma adecuada informes regulares sobre

los resultados para revisión por TI y por la dirección de
negocio y su comunicación a la dirección empresarial.
4 Integrar actividades de monitorización e informes en las

actividades iterativas de gestión de la capacidad
(monitorización, análisis, TUNING e implementaciones).
Práctica de Gobierno (gestión): 05 - Investigar y resolver los problemas de disponibilidad, rendimie

Indicadores Asociados: a. Número y porcentaje de incidencias de disponibilidad, rendimiento y capacidad sin resolver
b.Número de incidentes de disponibilidad
Fecha
Implementación
1 Obtener directrices de los manuales de producto de los
proveedores para garantizar un nivel adecuado de
disponibilidad de rendimiento durante los picos en las
cargas de trabajo y procesamiento.
2 Definir un proceso de escalamiento para una resolución

rápida de emergencias de capacidad y problemas de
rendimiento.
3 Identificar las brechas de rendimiento y capacidad con base

en la monitorización del rendimiento actual y estimado.
Usar especificaciones conocidas de disponibilidad,
continuidad y recuperación para clasificar los recursos y
permitir su priorización.
4 Definir acciones correctivas (p. ej., cambios en la carga de

trabajo, priorizar tareas o añadir recursos cuando se
identifiquen problemas de rendimiento y capacidad).
5 Integrar las acciones correctivas necesarias en los procesos

apropiados de planificación y gestión del cambio.
Página 108
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI05 - Gestionar el cambio organizativo
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Establecer el deseo de cambiar

Indicadores Asociados: a. Nivel de participación de la alta dirección
b. Nivel de deseo de cambio de las partes interesadas
Fecha
Implementación
1 Evaluar el alcance e impacto de los cambios visualizados, las
partes interesadas afectadas, la naturaleza del impacto y la
participación requerida de cada grupo de interés, además
de la disposición y capacidad real para adoptar el cambio.
2 Para establecer el deseo de cambiar, identificar, aprovechar

y comunicar los puntos de dolor actuales, eventos
negativos, riesgo, insatisfacción de los clientes y problemas
del negocio, así como los beneficios iniciales y futuras
oportunidades y recompensas y ventajas competitivas.
3 Emitir comunicaciones clave del comité ejecutivo o CEO que

demuestren el compromiso con el cambio.
4 Proporcionar un liderazgo visible de la alta dirección para
establecer el rumbo y alinear, motivar e inspirar a las partes
interesadas para que deseen el cambio.
Práctica de Gobierno (gestión): 02 - Formar un equipo de implementación eficaz

Indicadores Asociados: a. Número de habilidades identificadas o problemas de capacidad en el equipo de implementación
b. Valoración de satisfacción de las partes interesadas con el equipo de implementación
Fecha
Implementación
Página 109
1 Identificar y conformar a un equipo eficaz de
implementación principal que incluya a los miembros
adecuados del negocio y TI con la capacidad para dedicar la
cantidad de tiempo requerida y contribuir con su
conocimiento y especialidad, experiencia, credibilidad y
autoridad.
Considerar la inclusión de personal externo, como
consultores, para que proporcionen un punto de vista
independiente y para abordar las brechas de habilidades.
Identificar los posibles agentes de cambio dentro de las
distintas partes de la empresa con las que el equipo
principal puede trabajar para respaldar la visión y los
cambios en cascada.
2 Crear confianza dentro del equipo de implementación

principal a través de eventos planificados cuidadosamente
con una comunicación eficaz y actividades conjuntas.
3 Desarrollar una visión y metas comunes que respalden los

objetivos de la empresa.
Práctica de Gobierno (gestión): 03 - Comunicar la visión deseada

Indicadores Asociados: a. Número de preguntas relacionadas con el cambio
b. Retroalimentación de las partes interesadas sobre el nivel de comprensión del cambio
Fecha
Implementación
1 Desarrollar un plan de comunicación de la visión para
respaldar a los grupos de audiencia principales, sus perfiles
de comportamiento y necesidades de información, canales
de comunicación y principios.
2 Comunicar en los niveles adecuados de la empresa,

conforme al plan.
3 Reforzar la comunicación a través de múltiples foros y
repeticiones.
4 Hacer que todos los niveles de liderazgo rindan cuentas para
demostrar la visión.
5 Comprobar la comprensión de la visión deseada y responder
a cualquier cuestión señalada por el personal.
Práctica de Gobierno (gestión): 04 - Facultar a los roles participantes e identificar las ganancias a corto plazo
Indicadores Asociados: a. Nivel de satisfacción de los roles participantes con la operación, uso y mantenimiento del cambio
b. Porcentaje de roles participantes capacitados
c. Porcentaje de roles participantes con autoridad adecuada asignada
d. Retroalimentación de los roles participantes sobre el nivel de empoderamiento
e. Autoevaluación de los roles participantes sobre las capacidades relevantes
Fecha
Compromiso
Implementación
1 Planificar las oportunidades de capacitación que necesitará
el personal para desarrollar las habilidades y actitudes
necesarias para sentirse empoderados.
Página 110
2 Identificar, priorizar y ofrecer oportunidades de ganancias
rápidas. Éstas podrían estar relacionadas con áreas
conocidas de dificultad o factores externos reales que
deben abordarse de forma urgente.
3 Aprovechar las ganancias rápidas ofrecidas comunicando los

beneficios a los afectados para mostrar que la visión va
según lo previsto. Perfeccionar la visión, mantener a los
líderes involucrados y construir el momentum (ganar
impulso).
4 Identificar las estructuras organizativas compatibles con la

visión; de ser necesario, realizar cambios para asegurar el
alineamiento.
5 Alinear los procesos de RR. HH. y los sistemas de medición

(p. ej. evaluación del rendimiento, decisiones de
compensación, decisiones de promoción, reclutamiento y
contratación) para respaldar la visión.
6 Identificar y gestionar a los líderes que siguen resistiéndose

al cambio.
Práctica de Gobierno (gestión): 05 - Habilitar la operación y el uso

Indicadores Asociados: a. Porcentaje de usuarios empoderados adecuadamente para el cambio
b. Porcentaje de planes desarrollados para la puesta en marcha y uso del cambio
Fecha
Implementación
1 Desarrollar un plan para la operación y uso del cambio. El
plan debería comunicar y construir a partir de las ganancias
rápidas obtenidas, abordar, en términos globales, aspectos
culturales y de comportamiento de la transición e
incrementar el compromiso y la participación. Asegurar que
el plan cubre una visión holística del cambio y que
proporciona documentación (p. ej. procedimientos),
asesoría, capacitación, tutoría, transferencia de
conocimientos, soporte para el mejoramiento continuo
inmediatamente después de su implantación.
2 Implementar el plan operativo y de uso. Definir y hacer

seguimiento de las medidas de éxito, incluyendo medidas
difíciles para el negocio y medidas de percepción que
indiquen cómo se sienten las personas con un cambio.
Implementar acciones correctivas si fuera necesario.
Práctica de Gobierno (gestión): 06 - Incorporar nuevos enfoque

Indicadores Asociados: a. Nivel de satisfacción de los usuarios con la adopción del cambio
b. Porcentaje de auditorías de cumplimiento que identificaron las causas raíz de la escasa adopción
c. Número de auditorías de cumplimiento llevadas a cabo para identificar las causas raíz de la escasa adopción y acciones correctivas recomendadas
Fecha
Implementación
1 Sostener y reforzar el cambio a través de comunicación
regular que demuestre el compromiso de la alta dirección.
Página 111
2 Proporcionar asesoría, capacitación, tutoría y transferencia
de conocimientos al personal nuevo para sostener el
cambio.
3 Realizar revisiones periódicas de la operación y uso del

cambio. Identificar mejoras.
4 Captar las lecciones aprendidas relacionadas con la
implementación del cambio. Compartir el conocimiento con
toda la empresa.
Práctica de Gobierno (gestión): 07 - Sostener los cambios

Indicadores Asociados: a. Número de capacitaciones y transferencias de conocimientos realizadas
b. Porcentaje de participación de la alta dirección en el refuerzo del cambio
Fecha
Compromiso
Implementación
1 Hacer que los dueños de los procesos rindan cuentas sobre
las operaciones normales diarias.
2 Celebrar los éxitos e implementar programas de
reconocimiento y recompensas para reforzar el cambio.
3 Proporcionar concienciación continua a través de la
comunicación regular del cambio y su adopción.
4 Usar sistemas de medición del rendimiento para identificar
las causas raíz de la baja adopción. Emprender acciones
correctivas
5 Llevar a cabo auditorías de cumplimiento para identificar las

causas raíz de la baja adopción. Recomendar acciones
correctoras.
Página 112
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI06 - Gestionar los cambios de TI
Proceso relacionado del Marco Normativo: Desarrollo, Implementación y Mantenimiento de sistema de Información Implementable Porcentaje Fecha Conclusión
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Evaluar, priorizar y autorizar solicitudes de cambio

Indicadores Asociados: a. Cantidad de retrabajo causado por cambios fallidos
b. Porcentaje de cambios sin éxito debidos a evaluaciones de impacto inadecuadas
Fecha
Implementación
1 Usar solicitudes de cambio formales para permitir a los
propietarios de los procesos de negocio y a TI solicitar
cambios a procesos de negocio, infraestructura, sistemas o
aplicaciones. Asegurarse de que todos estos cambios surjan
solo a través del proceso de gestión de solicitudes de
cambio.
2 Categorizar todos los cambios solicitados (p. ej., procesos de

negocio, infraestructura, sistemas operativos, redes,
sistemas de aplicación, software de aplicación
comprado/empaquetado) y relacionar los elementos de
configuración afectados.
3 Priorizar todos los cambios solicitados basándose en los

requisitos de negocio y técnicos, recursos requeridos y las
razones legales, regulatorias y contractuales para el cambio
solicitado.
4 Aprobar formalmente cada cambio por parte de los dueños

de los procesos de negocio, gestores de servicios y partes
interesadas técnicas de TI, según corresponda. Los cambios
que son de bajo riesgo y relativamente frecuentes deben
pre-aprobarse como cambios estándar.
5 Planificar y programar todos los cambios aprobados.
Página 113
6 Planificar y evaluar todas las solicitudes de una manera
estructurada. Incluir un análisis de impacto en los procesos
de negocio, la infraestructura, los sistemas y las
aplicaciones, los planes de continuidad del solicitado.
Considerar también las interdependencias entre los
cambios. Involucrar a los propietarios de los procesos de
negocio en el proceso de evaluación, cuando sea
conveniente.solicitado. Considerar también las
interdependencias entre los cambios. Involucrar a los
propietarios de los procesos de negocio en el proceso de
evaluación, cuando sea conveniente.negocio (BCP) y los
proveedores de servicios para asegurarse de que se hayan
identificado todos los componentes afectados. Evaluar la
probabilidad de afectar negativamente el entorno operativo
y el riesgo de implementar el cambio. Considerar las
implicaciones de seguridad, privacidad, legales,
contractuales y de cumplimiento del cambio
7 Considerar el impacto de los proveedores de servicios

contratados (p. ej., de procesamiento de negocio ,
infraestructura, desarrollo de aplicaciones y servicios
compartidos externalizados) en el proceso de gestión de
cambios. Incluir la integración de los procesos de gestión de
cambios organizativos con los procesos de gestión de
cambios de los proveedores de servicios y el impacto en
términos contractuales y SLA.
Práctica de Gobierno (gestión): 02 - Gestionar los cambios de emergencia

Indicadores Asociados: a. Número de cambios de emergencia no autorizados después del incidente
b. Porcentaje de cambios totales que son correcciones de emergencia
Fecha
Compromiso
Implementación
1 Definir lo que constituye un cambio de emergencia.
2 Asegurar que existe un procedimiento documentado para
declarar, evaluar, aprobar inicialmente, autorizar después
del cambio y registrar un cambio de emergencia.
3 Verificar que todos los acuerdos de acceso de emergencia

para los cambios se autoricen, documenten y revoquen
adecuadamente después de que el cambio se haya aplicado.
4 Monitorizar todos los cambios de emergencia y realizar las

revisiones posteriores a la implementación con la
participación de todas las partes interesadas. La revisión
debe considerar e iniciar acciones correctivas basadas en las
causas raíz, tales como problemas con los procesos de
negocio, desarrollo y mantenimiento de sistemas de
aplicación, entornos de desarrollo y pruebas,
documentación y manuales, e integridad de datos.
Práctica de Gobierno (gestión): 03 - Hacer seguimiento e informar sobre cambios de estado

Indicadores Asociados: a. Número y antigüedad de las solicitudes de cambio pendientes
b. Porcentaje de estado de peticiones de cambio comunicadas a las partes interesadas en el plazo adecuado
Página 114
Fecha
Implementación
1 Categorizar las solicitudes de cambio en el proceso de
seguimiento (p. ej., rechazado; aprobado pero no iniciado;
aprobado y en proceso; y cerrado).
2 Implementar informes de estado de los cambios con

métricas de rendimiento para permitir la gestión de la
revisión y la monitorización, tanto del estado detallado de
los cambios como del estado general (p. ej., análisis de la
antigüedad de las solicitudes de cambio). Asegurarse de que
los informes de estado formen una pista de auditoría para
que los cambios puedan rastrearse posteriormente, desde
su inicio hasta su eventual disposición.
3 Monitorizar los cambios abiertos para asegurarse de que

todos los cambios aprobados se cierren de manera
oportuna, según su prioridad.
4 Mantener un sistema de seguimiento e informes para todas

las solicitudes de cambio.
Práctica de Gobierno (gestión): 04 - Cerrar y documentar los cambios

Indicadores Asociados: a. Número de errores de revisión encontrados en la documentación
b. Porcentaje de actualizaciones de procedimientos y documentación de usuario realizadas en el plazo oportuno
Fecha
Implementación
1 Incluir los cambios en la documentación en el
procedimiento de gestión. Algunos ejemplos de
documentación son: procedimientos operativos de negocio
y de TI, documentación de continuidad del negocio y
recuperación ante desastres, información de configuración,
documentación de aplicaciones, pantallas de ayuda y
materiales de capacitación.
2 Definir un período de retención adecuado para la

documentación de los cambios y la documentación del
sistema y del usuario antes y después del cambio.
3 Someter la documentación al mismo nivel de revisión que el

cambio en sí mismo.
Página 115
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI07 - Gestionar la aceptación y la transición de los cambios de TI
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Establecer un plan de implementación

Indicadores Asociados: a. Número y categoría de partes interesadas que aceptan el plan de implementación
b. Número de planes de implementación robustos y que contienen todos los componentes necesarios
Fecha
Implementación
1 Usar solicitudes de cambio formales para permitir a los
propietarios de los procesos de negocio y a TI solicitar
cambios a procesos de negocio, infraestructura, sistemas o
aplicaciones. Asegurarse de que todos estos cambios surjan
solo a través del proceso de gestión de solicitudes de
cambio.
2 Categorizar todos los cambios solicitados (p. ej., procesos de

negocio, infraestructura, sistemas operativos, redes,
sistemas de aplicación, software de aplicación
comprado/empaquetado) y relacionar los elementos de
configuración afectados.
3 Priorizar todos los cambios solicitados basándose en los

requisitos de negocio y técnicos, recursos requeridos y las
razones legales, regulatorias y contractuales para el cambio
solicitado.
4 Aprobar formalmente cada cambio por parte de los dueños

de los procesos de negocio, gestores de servicios y partes
interesadas técnicas de TI, según corresponda. Los cambios
que son de bajo riesgo y relativamente frecuentes deben
pre-aprobarse como cambios estándar.
5 Planificar y programar todos los cambios aprobados.
Página 116
6 Planificar y evaluar todas las solicitudes de una manera
estructurada. Incluir un análisis de impacto en los procesos
de negocio, la infraestructura, los sistemas y las
aplicaciones, los planes de continuidad del solicitado.
Considerar también las interdependencias entre los
cambios. Involucrar a los propietarios de los procesos de
negocio en el proceso de evaluación, cuando sea
conveniente.solicitado. Considerar también las
interdependencias entre los cambios. Involucrar a los
propietarios de los procesos de negocio en el proceso de
evaluación, cuando sea conveniente.negocio (BCP) y los
proveedores de servicios para asegurarse de que se hayan
identificado todos los componentes afectados. Evaluar la
probabilidad de afectar negativamente el entorno operativo
y el riesgo de implementar el cambio. Considerar las
implicaciones de seguridad, privacidad, legales,
contractuales y de cumplimiento del cambio
7 Considerar el impacto de los proveedores de servicios

contratados (p. ej., de procesamiento de negocio ,
infraestructura, desarrollo de aplicaciones y servicios
compartidos externalizados) en el proceso de gestión de
cambios. Incluir la integración de los procesos de gestión de
cambios organizativos con los procesos de gestión de
cambios de los proveedores de servicios y el impacto en
términos contractuales y SLA.
Práctica de Gobierno (gestión): 02 - Planificar la conversión de procesos de negocio, sistemas y datos

Indicadores Asociados: a. Porcentaje de conversión realizada correctamente
b. Porcentaje de ajustes necesarios realizados en los procedimientos (incluyendo la revisión de roles y responsabilidades y procedimientos de control)
Fecha
Compromiso
Implementación
1 Definir un plan de migración del proceso de negocio, de los
datos de servicios y de la infraestructura de I&T. En el
desarrollo del plan, considerar, por ejemplo, el hardware,
las redes, los sistemas operativos, el software, los datos de
transacción, los archivos maestros, las copias de seguridad y
archivos, las interfaces con otros sistemas (internos y
externos), los posibles requisitos de cumplimiento, los
procedimientos de negocio y la documentación del sistema.
2 En el plan de conversión del proceso de negocio, considerar

todos los ajustes necesarios de los procedimientos,
incluyendo la revisión de roles y responsabilidades y
procedimientos de control.
3 Confirmar que el plan de conversión de datos no requiere

cambios en los valores de los datos, a menos que sea
absolutamente necesario por razones de negocio.
Documentar los cambios realizados en los valores de los
datos y asegurar la aprobación del dueño de los datos del
proceso de negocio.
Página 117
4 Planificar la retención de los datos de copias de seguridad y
archivados de acuerdo con las necesidades del negocio y los
requisitos de cumplimiento o regulatorios.
5 Ensayar y probar la conversión antes de intentar una

conversión en vivo.
6 Coordinar y verificar los tiempos e integridad de la
transición de la conversión rápida para que se produzca una
transición continua y uniforme sin que se pierdan datos en
la transición. Cuando sea necesario, si no existe otra
alternativa, congelar las operaciones en vivo.
7 Planificar una copia de seguridad de todos los sistemas y

datos recopilados en el momento previo a la conversión.
Mantener pistas de auditoría para poder tener un registro
de los pasos de la conversión. Garantizar que haya un plan
de recuperación que cubra el rollback de la migración y el
fallback al procesamiento anterior si la migración falla.
8 Incorporar en el plan de conversión de datos métodos para

recopilar, convertir y verificar los datos a convertir, e
identificar y resolver cualquier error encontrado durante la
conversión. Incluir la comparativa de los datos originales
con los convertido para comprobar su integridad y que
están completos.
9 Considerar el riesgo de los problemas de conversión,

planificación de la continuidad del negocio y procedimientos
de fallback en el proceso de negocio, plan de migración de
datos e infraestructura en los que haya gestión de riesgo,
necesidades del negocio o requisitos de
cumplimiento/regulatorios.
Práctica de Gobierno (gestión): 03 -Plan de pruebas de aceptación

Indicadores Asociados: a. Porcentaje de partes interesadas satisfechas con la completitud del proceso de prueba
b. Número de planes de pruebas documentados que incluyen todas las fases de las pruebas y escenarios de pruebas sólidos y adecuados para los requisitos y el entorno operativos
Fecha
Implementación
1 Desarrollar y documentar el plan de pruebas, que esté
alineado con el programa, el plan de calidad del proyecto y
los estándares organizativos relevantes. Comunicar y
consultar con los dueños del proceso de negocio y las partes
interesadas de TI apropiadas.
2 Asegurar que el plan de pruebas refleja la evaluación del

riesgo del proyecto y que se prueban todos los requisitos
funcionales y técnicos. Con base en la evaluación del riesgo
de fallo del sistema y los fallos en la implementación, incluir
en el plan requisitos de rendimiento, estrés, usabilidad,
piloto, pruebas de seguridad y privacidad.
3 Garantizar que el plan de pruebas aborde la posible

necesidad de acreditación interna o externa de los
resultados del proceso de prueba (p. ej. requisitos
financieros o regulatorios).
Página 118
4 Asegurar que el plan de pruebas identifique los recursos
necesarios para ejecutar las pruebas y evaluar los
resultados. Algunos ejemplos de recursos pueden ser la
construcción de entornos de pruebas y el uso del tiempo del
personal para el grupo de pruebas, incluida la posible
sustitución temporal del personal de pruebas en los
entornos de producción o desarrollo. Asegurar que se
consulta a las partes interesadas sobre las implicaciones del
plan de pruebas.
5 Asegurar que el plan de pruebas identifique las fases de

prueba apropiadas de acuerdo con los requisitos y entorno
operativos. Algunos ejemplos de estas fases de pruebas son
la inclusión de pruebas unitarias, pruebas de sistema,
pruebas de integración, pruebas de aceptación del usuario,
pruebas de rendimiento, pruebas de estrés, pruebas de
conversión de datos, pruebas de seguridad, pruebas de
privacidad, pruebas de preparación operativa, y pruebas de
copias de seguridad y recuperación.
6 }Confirmar que el plan de pruebas considera la preparación

de las pruebas (incluida la preparación de la instalación),
requisitos de capacitación, instalación o actualización del
entorno de pruebas definido, casos de pruebas de
planificación/rendimiento/documentación/ retención,
manejo de errores y problemas, corrección y escalamiento,
y aprobación formal.
7 }Confirmar que todos los planes de pruebas cuentan con la

aprobación de las partes interesadas, incluidos los dueños
del proceso de negocio y de TI, como corresponda. Las
partes interesadas podrían incluir a los gestores del
desarrollo de aplicaciones, gestores de proyecto y usuarios
finales del proceso de negocio.
8 Asegurar que el plan de pruebas establezca criterios claros

para la medición del éxito de cada una de las fases de
pruebas. Consultar con los dueños del proceso de negocio y
las partes interesadas de TI para definir los criterios de
éxito. Determinar que el plan establece los procedimientos
de remediación cuando no se cumplen los criterios de éxito.
Por ejemplo, si hay un fallo significativo en una fase de
pruebas, el plan debe proporcionar unas directrices sobre si
proceder a la fase siguiente, detener las pruebas o
postergar la implementación.
Práctica de Gobierno (gestión): 04 - Establecer un entorno de pruebas

Indicadores Asociados: a. Nivel de comparación entre el entorno de pruebas y el entorno operativo y de negocio futuro
Nivel de datos (y/o bases de datos) de pruebas borrados de forma segura (sanitizados) que son representativos del entorno de producción
Fecha
Compromiso
Implementación
Página 119
1 Crear una base de datos de pruebas que sea representativa
del entorno de producción. Borrar en forma segura los
datos usados en el entorno de pruebas y que vienen del
entorno de producción, conforme a las necesidades de
negocio y los estándares organizativos. Por ejemplo,
considerar si los requisitos de cumplimiento o regulatorios
obligan al uso de borrado seguro de datos.
2 Proteger los datos de prueba y resultados sensibles contra

su divulgación, incluido el acceso, retención,
almacenamiento y destrucción. Considerar el efecto de la
interacción de los sistemas organizativos con los de
terceros.
3 Establecer un proceso que permita la apropiada retención o

eliminación (disposición) de los resultados de las pruebas,
medios u otra documentación asociada , que permitan la
revisión adecuada y el subsiguiente análisis o realización
eficiente de nuevas pruebas, según lo requiera el plan de
pruebas. Considerar el efecto de los requisitos de
cumplimiento o regulatorios.
4 Garantizar que el entorno de pruebas sea representativo del

entorno operativo y de negocio futuro. Incluir
procedimientos y roles del proceso de negocio, posible
estrés por la carga de trabajo, sistemas operativos, software
de aplicaciones necesario, sistemas de gestión de bases de
datos e infraestructura de red y computación que se
encuentre en el entorno de producción.
5 Asegurar que el entorno de pruebas sea seguro e incapaz de

interactuar con los sistemas de producción.
Práctica de Gobierno (gestión): 05 - Realizar pruebas de aceptación

Indicadores Asociados: a. Número de brechas identificadas entre los resultados de las pruebas de aceptación y los criterios de éxito definidos
b. Número de pruebas de aceptación satisfactorias
Fecha
Implementación
1 Revisar la categorización del log de errores encontrados por
el equipo de desarrollo en el proceso de pruebas.
Comprobar que todos los errores se han solucionado o
aceptado formalmente.
2 Evaluar la aceptación final mediante comparación con los

criterios de éxito e interpretar los resultados de las pruebas
de aceptación final. Presentarlos de forma que sean
entendibles para los dueños del proceso de negocio y de TI,
para que pueda realizarse una evaluación y revisión
informada.
3 Aprobar la aceptación, con la confirmación formal de los

dueños del proceso de negocio, terceros (si corresponde) y
las partes interesadas de TI antes de su promoción.
Página 120
4 Garantizar que se llevan a cabo pruebas de los cambios
conforme al plan de pruebas. Asegurar que las pruebas han
sido diseñadas y ejecutadas por un grupo de pruebas,
independiente del equipo de desarrollo. Considerar hasta
qué punto están incluidos los dueños de los procesos de
negocio y los usuarios finales en el grupo de pruebas.
Asegurar que las pruebas se realicen solo dentro del
entorno de pruebas.
5 Asegurar que las pruebas y los resultados esperados se

correspondan con los criterios de éxito definidos
establecidos en el plan de pruebas.
6 Considerar el uso de instructivos (guiones) de pruebas

definidas claramente para implementar las pruebas.
Asegurar que el grupo de pruebas independiente evalúe y
apruebe cada guion de pruebas para confirmar que se han
abordado adecuadamente los criterios de éxito de las
pruebas establecidos en el plan de pruebas. Considerar el
uso de guiones para comprobar hasta qué punto cumple el
sistema con los requisitos de seguridad y privacidad.
7 Considerar el equilibrio adecuado entre los guiones de

pruebas automatizadas y las pruebas interactivas del
usuario.
8 Llevar a cabo pruebas a la seguridad conforme al plan de

pruebas. Medir hasta qué punto existen debilidades o
brechas de seguridad. Considerar el efecto de los incidentes
de seguridad desde la creación del plan de pruebas.
Considerar el efecto sobre los controles y los límites de
acceso. Considerar la privacidad.
9 Llevar a cabo pruebas de rendimiento del sistema y de las

aplicaciones conforme al plan de pruebas. Considerar una
serie de métricas de rendimiento (p. ej. tiempos de
respuesta del usuario final y rendimiento de la actualización
del sistema de gestión de base de datos).
10 Cuando se lleven a cabo las pruebas, garantizar que se han

considerado los elementos de fallback y rollback del plan de
pruebas.
11 Identificar, registrar y clasificar los errores (p. ej. menores,

significativos, de misión crítica) durante las pruebas.
Asegurar que esté disponible una pista de auditoría de los
resultados de las pruebas. Según el plan de pruebas,
comunicar los resultados de las pruebas a las partes
interesadas para facilitar la corrección de errores y mejoras
en la calidad.
Práctica de Gobierno (gestión): 06 - Promover a producción y gestionar las liberaciones (releases).

Indicadores Asociados: a. Número y porcentaje de versiones no listas para lanzarse según el calendario
b. Porcentaje de satisfacción de las partes interesadas con la solución implementada
Fecha
Implementación
Página 121
1 Prepararse para la transferencia de procedimientos del
negocio y servicios de soporte, aplicaciones e
infraestructura desde el entorno de pruebas al entorno de
producción conforme a los estándares de gestión de
cambios organizativos.
2 Determinar hasta qué punto la implementación del piloto o

el procesamiento paralelo de los sistemas nuevos y viejos
está en línea con el plan de implementación.
3 }Actualizar rápidamente la documentación del proceso de

negocio y del sistema, la información de configuración y los
documentos de planes de contingencia relevantes,
conforme corresponda.
4 Garantizar que todas las bibliotecas de medios se actualizan

rápidamente con la versión del componente de la solución
transferido del entorno de pruebas al entorno de
producción. Archivar la versión actual y su documentación
soporte. Asegurar que la promoción a producción de
sistemas, software de aplicaciones e infraestructura esté
bajo el control de configuración.
5 Si la distribución de componentes de soluciones se lleva a

cabo de forma electrónica, controlar la distribución
automática para garantizar que se notifica a los usuarios y
que la distribución solo se realiza a destinatarios autorizados
correctamente identificados. Incluir procedimientos de
copia de seguridad en el proceso de liberación (release)
para permitir que la distribución de los cambios se revise en
caso de falla o error.
6 Si la distribución se hace de forma física, mantener un

registro formal de qué elementos se han distribuido, a quién
y dónde se han implementado y cuándo se ha actualizado
cada uno de ellos.
Práctica de Gobierno (gestión): 07 - Proporcionar soporte oportuno en producción.

Indicadores Asociados: a. Número de recursos adicionales del sistema de I&T proporcionados para dar soporte
b. Número de personal adicional proporcionado como soporte
Fecha
Implementación
1 1. Proporcionar recursos adicionales, cuando se requiera, a
los usuarios finales y personal de soporte hasta que se
estabilice la liberación.
2 2. Proporcionar recursos de sistemas de I&T adicionales,

conforme se requiera, hasta que el lanzamiento esté en un
entorno operativo estable.
Práctica de Gobierno (gestión): 08 - Realizar una revisión post-implementación

Indicadores Asociados: a. Número y porcentaje de análisis causa raíz completados
b. Número o porcentaje de liberaciones que no se estabilizan dentro de un período aceptable
c. Porcentaje de liberaciones que causan tiempo de inactividad
Página 122
Fecha
Implementación
1 Establecer procedimientos para garantizar que las revisiones
post-implementación identifiquen, evalúen e informen
sobre en qué medida han ocurrido los eventos siguientes:
los requisitos de la empresa se han riesgos clave se han
mitigado; y los procesos de gestión de cambios, instalación y
acreditación se han realizado de forma eficaz y
eficiente.cumplido; los beneficios esperados se han logrado;
el sistema se considera utilizable; las expectativas de las
partes interesadas se han cumplido; han ocurrido impactos
inesperados en la empresa; los
2 Consultar a los dueños del proceso de negocio y los

directivos técnicos de TI sobre la elección de métricas para
la medición del éxito y consecución de requisitos y
beneficios.
3 Llevar a cabo la revisión post-implementación conforme al

proceso de gestión de cambios de la organización.
Involucrar a los dueños del proceso de negocio y las terceras
partes, como corresponda.
4 Considerar los requisitos para la revisión post-

implementación que surjan de fuera del negocio y de TI (p.
ej. auditoría interna, ERM, cumplimiento).
5 Acordar e implementar un plan de acción para solucionar

los problemas identificados en la revisión post-
implementación. Involucrar a los dueños del proceso de
negocio y los directivos técnicos de TI en el desarrollo del
plan de acción.
Página 123
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI08 - Gestionar el conocimiento
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T
Indicadores Asociados: a. Porcentaje de información clasificada validada
b. Porcentaje de pertinencia de los tipos de contenido, artefactos e información estructurada y no estructurada
Fecha
Implementación
1 Identificar usuarios con conocimiento potenciales, incluidos
dueños de información que tal vez deban contribuir y
aprobar el conocimiento. Obtener requisitos de
conocimiento y fuentes de información de los usuarios
identificados.
2 Considerar los tipos de contenido (procedimientos,

procesos, estructuras, conceptos, políticas, reglas, hechos,
clasificaciones), artefactos (documentos, registros, vídeo,
voz) e información estructurada y no estructurada
(expertos, redes sociales, correo electrónico, mensajes de
voz, canales RSS (Rich Site Summary)).
3 Clasificar las fuentes de información con base en el

esquema de clasificación de contenidos (p. ej. el modelo de
arquitectura de la información). Correlacionar las fuentes de
información con el esquema de clasificación.
4 Recopilar, cotejar y validar las fuentes de información con

base en los criterios de validación de la información (p. ej.,
comprensión, relevancia, importancia, integridad, precisión,
consistencia, confidencialidad, vigencia y confiabilidad).
Práctica de Gobierno (gestión): 02 - Organizar y contextualizar la información en conocimiento

Indicadores Asociados: a. Número de relaciones identificadas entre las fuentes de información (etiquetado)
b. Porcentaje de satisfacción de las partes interesadas con la organización y contextualización de la información en conocimiento
Fecha
Implementación
1 Identificar atributos compartidos y relacionar sus fuentes de
información , con la creación de relaciones entre los
conjuntos de información (etiquetado de la información).
Página 124
2 Crear vistas de conjuntos de datos relacionados,
considerando los requisitos organizativos y de las partes
interesadas.
3 Idear e implementar un esquema para gestionar el

conocimiento no estructurado que no está disponible a
través de fuentes formales (p.ej. el conocimiento de
expertos).
4 Publicar y hacer que el conocimiento sea accesible a las

partes interesadas relevantes, conforme a mecanismos de
roles y acceso.
Práctica de Gobierno (gestión): 03 - Utilizar y compartir conocimiento

Indicadores Asociados: a. Porcentaje de conocimiento disponible usado realmente
b. Porcentaje de satisfacción del usuario con los conocimientos
Fecha
Implementación
1 Establecer expectativas de gestión y demostrar la actitud
adecuada en cuanto a la utilidad del conocimiento y la
necesidad de compartir el conocimiento relacionado con el
gobierno y la gestión de la I&T de la empresa.
2 Identificar usuarios potenciales de conocimiento por medio

de la clasificación del conocimiento.
3 Transferir el conocimiento a los usuarios del conocimiento,
con base en un análisis de brechas de necesidades y
técnicas de aprendizaje efectivas. Crear un entorno,
herramientas y artefactos que respalden el intercambio y la
transferencia de conocimiento. Asegurar que se cuenta con
los controles de acceso adecuados, en línea con la
clasificación de conocimiento definida.
4 Medir el uso de las herramientas y elementos de

conocimiento y evaluar el impacto en los procesos de
gobierno.
5 Mejorar la información y el conocimiento de los procesos de

gobierno que muestran brechas de conocimientos.
Práctica de Gobierno (gestión): 04 - Evaluar y actualizar o retirar la información

Indicadores Asociados: a. Frecuencia de actualización
b. Nivel de satisfacción de los usuarios
Fecha
Implementación
1 Definir los controles para la retirada de conocimientos y
proceder a su retirada como corresponda.
2 Evaluar la utilidad, relevancia y valor de los elementos del
conocimiento. Actualizar la información desactualizada que
podría seguir siendo relevante y valiosa para la
organización. Identificar la información relacionada que ya
no es relevante para los requisitos de conocimiento de la
empresa y retirarla o archivarla conforme a la política.
Página 125
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI09 - Gestionar los activos Implementable Porcentaje Fecha Conclusión
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 -Identificar y registrar los activos actuales

Indicadores Asociados: a. Porcentaje de activos registrados correctamente en el registro de activos
b. Porcentaje de activos que son adecuados para su propósito
c. Porcentaje de activos en inventario y actualizados
Fecha
Implementación
1 Identificar todos los activos adquiridos en un registro de
activos que recoja el estado actual. Los activos se reportan
en la hoja del balance; se compran o crean para aumentar el
valor de una compañía o beneficiar las operaciones de la
empresa (p. ej. hardware y software). Identificar todos los
activos adquiridos y mantener el alineamiento con los
procesos de gestión de la configuración y gestión de
cambios, el sistema de gestión de la configuración y los
datos de contabilidad financiera.
2 Identificar requisitos legales, regulatorios o contractuales

que deban abordarse al gestionar el activo.
3 Comprobar que los activos son adecuados para su propósito
(es decir, que se puedan usar).
4 Garantizar la contabilidad de todos los activos.
5 Comprobar la existencia de todos los activos adquiridos
mediante comprobaciones y conciliación regulares de
inventario físico y lógico. Incluir el uso de herramientas de
descubrimiento de software.
6 Determinar regularmente si cada activo continúa

proporcionando valor. De ser así, estimar la vida útil
esperada durante la que proporcionará valor.
Práctica de Gobierno (gestión): 02 - Gestionar activos críticos

Indicadores Asociados: a. Número de activos críticos
b. Promedio de inactividad por activo crítico
Número de tendencias de incidentes identificadas
Fecha
Compromiso
Implementación
Página 126
1 Identificar activos que son críticos para proporcionar la
capacidad de servicio mediante la referencia a los requisitos
en las definiciones de servicio, los SLA y el sistema de
gestión de la configuración.
2 }Considerar regularmente el riesgo de fallo o la necesidad

de sustitución de cada activo crítico.
3 Comunicar a los clientes y usuarios afectados el impacto
esperado (p. ej. restricciones de rendimiento) de las
actividades de mantenimiento.
4 Incorporar al calendario global de producción las

suspensiones planificadas. Programar actividades de
mantenimiento para minimizar el impacto adverso en los
procesos de negocio.
5 Mantener la resiliencia de los activos críticos aplicando un

mantenimiento preventivo regular. Monitorizar el
rendimiento y, de ser necesario, proporcionar activos
alternativos y/o adicionales para minimizar la probabilidad
de fallo.
6 Establecer un plan de mantenimiento preventivo para todo

el hardware considerando un análisis de coste beneficio, las
recomendaciones de los proveedores, el riesgo de
suspensión del servicio, el personal calificado y otros
factores relevantes.
7 Establecer acuerdos de mantenimiento que incluyan el

acceso de terceros a las instalaciones de I&T de la
organización a fin de realizar actividades en el sitio (on-site)
o fuera de él (off-site) (p. ej. outsourcing). Establecer
contratos de servicio formales que contengan o hagan
referencia a todas las condiciones de seguridad y privacidad
necesarias, incluidos procedimientos de autorización de
acceso, para garantizar el cumplimiento con las políticas y
estándares de seguridad/privacidad de la organización.
8 Garantizar que los servicios de acceso remoto y los perfiles

de usuario (y otros medios usados para el mantenimiento y
el diagnóstico) estén activos solo cuando sea necesario.
9 Monitorizar el rendimiento de los activos críticos mediante

el examen de tendencias de los incidentes. Cuando sea
necesario, realizar acciones de reparación o sustitución.
Práctica de Gobierno (gestión): 03 - Gestionar el ciclo de vida del activo

Indicadores Asociados: a. Porcentaje de activos gestionados desde la adquisición hasta su disposición
b. Porcentaje de uso por activo
c. Porcentaje de activos desplegados que siguen el ciclo de vida de implementación estándar
Fecha
Implementación
1 Proporcionar todos los activos conforme a las solicitudes
aprobadas y las políticas y prácticas de adquisición de la
empresa.
Página 127
2 Obtener, recibir, verificar, probar y registrar todos los
activos de forma controlada, incluyendo etiquetas físicas,
cuando se requiera.
3 Aprobar los pagos y completar el proceso con los

proveedores, conforme a las condiciones del contrato
acordadas.
4 Implementar los activos siguiendo el ciclo de vida de

implementación estándar, incluida la gestión de cambios y
las pruebas de aceptación.
5 Asignar los activos a usuarios, con responsabilidades de

aceptación y confirmación, como corresponda.
6 Siempre que sea posible, reasignar los activos cuando ya no
se necesiten debido a un cambio de rol del usuario,
redundancia en un servicio o retirada de un servicio.
7 Planificar, autorizar e implementar actividades relacionadas

con la retirada, mientras se conservan los registros
correspondientes para satisfacer las necesidades
regulatorias y de negocio en curso.
8 Disponer de los activos de forma segura, tras considerar,

por ejemplo, el borrado permanente de los datos
registrados en los dispositivos y el daño potencial al medio
ambiente.
9 Disponer de los activos de forma responsable cuando ya no

sean de utilidad debido a la retirada de todos los servicios
relacionados, tecnología obsoleta o la falta de usuarios,
teniendo en consideración el impacto medioambiental.
Práctica de Gobierno (gestión): 04 - Optimizar el valor de los activos

Indicadores Asociados: a. Costes de benchmarks
b. Número de activos no utilizados
Fecha
Implementación
1 Revisar regularmente toda la base de activos, considerando
si está alineada con las necesidades del negocio.
2 Evaluar los costes de mantenimiento, considerar si son

razonables e identificar opciones de menor coste. Cuando
sea necesario, incluir reemplazos con nuevas alternativas .
3 Revisar las garantías y considerar la relación calidad-precio y

las estrategias de reemplazo para determinar las opciones
de menor coste.
4 Usar estadísticas de capacidad y uso para identificar activos

subutilizados o redundantes que podrían considerarse para
su eliminación o sustitución a fin de reducir costes.
5 Revisar la base completa para identificar oportunidades de

estandarización, suministro único y otras estrategias que
podrían reducir los costes de adquisición, soporte y
mantenimiento.
Página 128
6 Revisar el estado general a fin de identificar oportunidades
para aprovechar las tecnologías emergentes o estrategias
de suministro alternativas para reducir costes o incrementar
la relación calidad-precio.
Práctica de Gobierno (gestión): 05 - Gestionar las licencias

Indicadores Asociados: a. Porcentaje de licencias utilizadas frente a licencias adquiridas
b. Porcentaje de licencias que se siguen pagando pero que no se usan
c. Porcentaje de productos y licencias que deberían actualizarse para lograr un mayor valor
Fecha
Compromiso
Implementación
1 Mantener un registro de todas las licencias de software
adquiridas y los acuerdos de licencias asociados.
2 Realizar regularmente una auditoría para identificar todas
las instancias de software con licencia instaladas.
3 Comparar el número de licencias instaladas con el número
de licencias adquiridas. Garantizar que el método de
medición de cumplimiento de licencias sea conforme a los
requisitos de la licencia y del contrato.
4 Cuando las instancias sean inferiores al número de licencias

adquiridas, decidir si se deben conservar o poner fin a esas
licencias, considerando los posibles ahorros en
mantenimiento, capacitación y otros costes innecesarios.
5 Cuando las instancias sean superiores al número de licencias

adquiridas, considerar en primer lugar desinstalar las
instancias que ya no se requieran o no estén justificadas y
comprar entonces, de ser necesario, licencias adicionales
para cumplir con el acuerdo de licencias.
6 Considerar de forma regular si puede ser más rentable

actualizar los productos y las licencias asociadas.
Página 129
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI10 - Gestionar la configuración Implementable Porcentaje Fecha Conclusión
Proceso relacionado del Marco Normativo: Administración Infraestructura Tecnológica
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 -Establecer y mantener un modelo de configuración

Indicadores Asociados: a. Número de partes interesadas que aprueban el modelo de configuración
b. Porcentaje de precisión de las relaciones entre los elementos de configuración
Fecha
Implementación
1 Definir y acordar el alcance y nivel de detalle sobre la
gestión de la configuración (es decir, qué elementos
configurables de servicios, activos e infraestructura incluir).
2 Establecer y mantener un modelo lógico para la gestión de

la configuración, incluida la información de los tipos de CI,
atributos, tipos de relaciones, atributos de relaciones y
códigos de estado.
Práctica de Gobierno (gestión): 02 - Establecer y mantener un repositorio de configuración y una línea de referencia.
Indicadores Asociados: a. Número de elementos de configuración (CI) listados en el repositorio
b. Porcentaje de precisión sobre las líneas de referencia de la configuración de un servicio, aplicación o infraestructura
Fecha
Implementación
1 Identificar y clasificar CIs y poblar el repositorio.
2 Crear, revisar y acordar formalmente las líneas de referencia
de la configuración de un servicio, aplicación o
infraestructura.
Práctica de Gobierno (gestión): 03 - Mantener el control de los elementos de configuración

Indicadores Asociados: a. Frecuencia de cambios/actualizaciones al repositorio
b. Porcentaje de precisión e integridad del repositorio de CIs
Fecha
Implementación
1 Identificar los cambios de estado de los CIs y compararlos
con las líneas de referencia.
2 Relacionar todos los cambios de configuración con las
solicitudes de cambio aprobadas para identificar los
cambios no autorizados. Informar sobre cambios no
autorizados a los gestores de cambios.
Página 130
3 Identificar los requisitos de reporte de todas las partes
interesadas, incluyendo el contenido, la frecuencia y el
medio. Producir informes conforme a los requisitos
identificados.
Práctica de Gobierno (gestión): 04 - Desarrollar y mantener el plan del proyecto

Indicadores Asociados: a. Porcentaje de proyectos activos llevados a cabo sin mapas de valor del proyecto válidas y actualizadas
b.Porcentaje de hitos o tareas terminadas vs. el plan
Fecha
Implementación
1 Desarrollar un plan de proyecto que proporcione
información para permitir a la dirección controlar su
progreso de forma progresiva. El plan debería incluir
detalles de los entregables y los criterios de aceptación del
proyecto, recursos y responsabilidades internos y externos
requeridos, estructuras de división del trabajo y paquetes
de trabajo claros, estimaciones sobre los recursos
requeridos, plan / fases de hitos/liberaciones, dependencias
clave, presupuesto y costes e identificación de una ruta
crítica.
2 Mantener el plan del proyecto y los planes dependientes (p.

ej., plan de riesgos, plan de calidad, plan de obtención de
beneficios). Asegurar que los planes estén actualizados y
reflejen el progreso actual y los cambios materiales
aprobados.

del proyecto e informes de progresos. Asegurar que todos
los cambios realizados a los planes individuales se reflejen
en otros planes.
4 Determinar las actividades, interdependencias y

colaboración y comunicación requeridas en el proyecto y
entre los múltiples proyectos de un programa.
5 Asegurar que cada hito esté acompañado de un entregable

significativo que requiere su revisión y confirmación.
6 Establecer una línea de referencia del proyecto (p. ej. coste,

calendario, alcance, calidad) que se revise, apruebe e
incorpore adecuadamente al plan integrado del proyecto.
Práctica de Gobierno (gestión): 05 - Verificar y revisar la integridad del repositorio de configuración

Indicadores Asociados: a. Número de desviaciones entre el repositorio de configuración y la configuración real
b. Número de discrepancias en relación con la información de configuración incompleta o faltante
Fecha
Implementación
Página 131
1 Comprobar periódicamente los elementos de configuración
reales con respecto al repositorio de configuración,
mediante comparación de las configuraciones físicas y
lógicas y el uso de herramientas de descubrimiento
adecuadas, conforme sea necesario.
2 Comunicar y revisar todas las desviaciones de las

correcciones o acciones aprobadas para remover cualquier
activo no autorizado.
3 Comprobar regularmente que todos los elementos de

configuración físicos, conforme a lo definido en el
repositorio, existen físicamente. Informar de cualquier
desviación a la dirección.
4 Establecer y revisar periódicamente el objetivo para

completar el repositorio de configuración conforme con las
necesidades del negocio.
5 Comparar periódicamente el grado de integridad y precisión

contra los objetivos y llevar a cabo acciones correctivas,
conforme sea necesario, para mejorar la calidad de los
datos del repositorio.
Página 132
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: BAI10 - Gestionar los proyectos Implementable
Proceso relacionado del Marco Normativo:
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Mantener un enfoque estándar en la gestión de proyectos

Indicadores Asociados: a. Porcentaje de proyectos exitosos conforme con la estrategia estándar definida
b. Número de actualizaciones de la estrategia de gestión de proyectos, buenas prácticas, herramientas y plantillas
Fecha
Implementación
1 Mantener y hacer cumplir una estrategia estándar de
gestión de proyectos, alineada con el entorno específico de
la empresa y con las buenas prácticas, conforme a procesos
definidos y al uso de la tecnología correcta. Asegurar que la
estrategia cubra todo el ciclo de vida y las disciplinas a
seguir, incluida la gestión del alcance, recursos, riesgo,
coste, calidad, tiempo, comunicación, involucramiento de
las partes interesadas, adquisiciones, control de cambio,
integración y obtención de beneficios.
2 Proporcionar una capacitación en gestión de proyectos

adecuada y considerar la certificación para los gestores de
proyecto.
3 Establecer una oficina de gestión de proyectos (PMO) que

mantenga una estrategia estándar para la gestión de
programas y proyectos en toda la organización. La PMO
respalda todos los proyectos mediante la proyectos
requeridos, proveyendo formación y buenas prácticas para
los gestores de proyecto, seguimiento de las métricas sobre
el uso de buenas prácticas para la gestión de proyectos, etc.
En algunos casos, la creación y mantenimiento de plantillas
de documentación de
4 Evaluar las lecciones aprendidas sobre el uso de la

estrategia de gestión de proyectos. Actualizar las buenas
prácticas, herramientas y plantillas, conforme sea necesario.
Práctica de Gobierno (gestión): 02 - Establecer e iniciar un proyecto

Indicadores Asociados: a. Porcentaje de partes interesadas que aprueban la necesidad empresarial, alcance, resultado previsto y nivel de riesgo del proyecto
b. Porcentaje de proyectos en los que las partes interesadas reciben una clara declaración por escrito que define la naturaleza, alcance y beneficio del proyecto
Fecha
Implementación
Página 133
1 Crear un entendimiento común sobre el alcance del
proyecto entre las partes interesadas, proporcionarles una
clara declaración por escrito que defina la naturaleza, el
alcance y los entregables de cada proyecto.
2 Garantizar que cada proyecto tenga uno o más

patrocinadores con la autoridad suficiente para gestionar la
ejecución del proyecto dentro del programa global.
3 Asegurar que las partes interesadas y los patrocinadores de

la empresa (empresa y TI) acuerden y acepten los requisitos
del proyecto, incluidas las definiciones de los criterios de
éxito del proyecto (aceptación) y los indicadores clave de
rendimiento (KPI).
4 Nombrar a un gestor dedicado para el proyecto. Asegurar

que el individuo tenga los conocimientos tecnológicos y de
negocio requeridos y, las competencias y habilidades
proporcionales para gestionar el proyecto de forma eficaz y
eficiente.
5 Asegurar que la definición del proyecto describe los

requisitos de un plan de comunicación del proyecto que
identifique las comunicaciones internas y externas del
proyecto.
6 Con la aprobación de las partes interesadas, mantener la

definición del proyecto a lo largo del mismo y reflejar el
cambio de requisitos.
7 Hacer un seguimiento de la ejecución del proyecto,

establecer mecanismos como la elaboración regular de
informes en cada fase, revisiones por fases o liberaciones,
de forma oportuna y con la aprobación correspondiente.
Práctica de Gobierno (gestión): 03 - Gestionar la participación de la partes interesadas

Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas con la participación
b. Porcentaje de partes interesadas efectivamente involucradas
Fecha
Implementación
1 Planificar cómo las partes interesadas dentro y fuera de la
organización se identificarán, analizarán, involucrarán y
gestionarán durante el ciclo de vida del proyecto.
2 Identificar, involucrar y gestionar a las partes interesadas

estableciendo y manteniendo los niveles de coordinación,
comunicación y relación adecuadas para garantizar que
estén involucrados en el proyecto.
3 Analizar los intereses, requisitos y compromiso de las partes

interesadas. Implementar medidas correctivas si fuera
necesario.
Práctica de Gobierno (gestión): 04 - Desarrollar y mantener el plan del proyecto

Indicadores Asociados: a. Porcentaje de proyectos activos llevados a cabo sin mapas de valor del proyecto válidas y actualizadas
b. Porcentaje de hitos o tareas terminadas vs. el plan
Página 134
Fecha
Implementación
1 Desarrollar un plan de proyecto que proporcione
información para permitir a la dirección controlar su
progreso de forma progresiva. El plan debería incluir
detalles de los entregables y los criterios de aceptación del
proyecto, recursos y responsabilidades internos y externos
requeridos, estructuras de división del trabajo y paquetes
de trabajo claros, estimaciones sobre los recursos
requeridos, plan / fases de hitos/liberaciones, dependencias
clave, presupuesto y costes e identificación de una ruta
crítica.
2 Mantener el plan del proyecto y los planes dependientes (p.

ej., plan de riesgos, plan de calidad, plan de obtención de
beneficios). Asegurar que los planes estén actualizados y
reflejen el progreso actual y los cambios materiales
aprobados.

del proyecto e informes de progresos. Asegurar que todos
los cambios realizados a los planes individuales se reflejen
en otros planes.
4 Determinar las actividades, interdependencias y

colaboración y comunicación requeridas en el proyecto y
entre los múltiples proyectos de un programa.
5 Asegurar que cada hito esté acompañado de un entregable

significativo que requiere su revisión y confirmación.
6 Establecer una línea de referencia del proyecto (p. ej. coste,

calendario, alcance, calidad) que se revise, apruebe e
incorpore adecuadamente al plan integrado del proyecto.
Práctica de Gobierno (gestión): 05 - Gestionar la calidad del proyecto

Indicadores Asociados: a. Porcentaje de construcción de productos sin errores
b. Número de proyectos cancelados
Fecha
Implementación
entregables del proyecto, identificar la propiedad y las
responsabilidades, procesos de revisión de la calidad,

nuevos o modificados durante la planificación del proyecto.
Incluirlos en los planes integrados. Asegurar que las tareas
garantizan que los controles internos y, las soluciones de
seguridad y privacidad satisfacen los requisitos definidos.

Página 135
Práctica de Gobierno (gestión): 06 - Gestionar el riesgo de un proyecto

Indicadores Asociados: a. Número de retrasos y problemas identificados
b. Número de proyectos con una gestión formal del riesgo alineada con el marco de gestión de riesgos empresariales (ERM, siglas en inglés).
Fecha
Implementación
1 Establecer una estrategia formal de gestión de riesgos de
proyectos alineada con el marco de gestión de riesgos
empresariales (ERM). Asegurar que la estrategia incluya la
identificación, análisis, respuesta, mitigación,
monitorización y control del riesgo.
2 Asignar a personal adecuadamente calificado la

de proyectos de la empresa dentro de un proyecto y
asegurar que esto se incorpore en las prácticas de desarrollo
de soluciones. Considerar asignar este rol a un equipo
independiente, sobre todo si se requiere un punto de vista
objetivo o si un proyecto se considera crítico.
3 Identificar los dueños de las acciones para evitar, aceptar o

mitigar el riesgo.
4 Realizar la evaluación de riesgos del proyecto, identificando
y cuantificando el riesgo continuamente durante todo el
proyecto. Gestionar y comunicar el riesgo de forma
adecuada dentro de la estructura de gobierno del proyecto.
5 Reevaluar el riesgo del proyecto periódicamente,

incluyendo un inicio a cada fase del proyecto principal como
parte de evaluaciones de solicitudes de cambio mayores
6 Mantener y revisar el registro de riesgos del proyecto, de

todos los riesgos potenciales del proyecto y un registro de
mitigación de riesgo de todos los problemas presentados y
su resolución. Analizar periódicamente el log para ver las
tendencias y problemas recurrentes con la finalidad de
garantizar que se corrigen las causas raíz.
Práctica de Gobierno (gestión): 06 - Supervisar y controlar los proyectos

Indicadores Asociados: a. Porcentaje de actividades alineadas con el alcance y los resultados esperados
b. Porcentaje de desviaciones del plan abordadas
c. Frecuencia de revisiones del estado del proyecto
Fecha
Compromiso
Implementación
1 Establecer y usar una serie de criterios de proyecto
incluidos, pero no limitados a, el alcance, beneficio
esperado para el negocio, calendario, calidad, coste y nivel
de riesgo.
Página 136
2 Informar a las partes interesadas identificadas clave acerca
del progreso del proyecto, desviaciones con respecto a los
criterios clave de rendimiento del proyecto establecidos
(como, pero no limitado a, los beneficios empresariales
esperados), y posibles efectos positivos y negativos en el
proyecto.
3 Documentar y enviar los cambios necesarios a las partes

interesadas clave del proyecto para su aprobación antes de
su adopción. Comunicar los criterios revisados a los gestores
de proyecto para su uso en futuros informes de
rendimiento.
4 Para los entregables producidos en cada iteración, entrega o

fase del proyecto, obtener aprobación y conformidad de los
gestores y usuarios designados en las funciones de negocio
y de TI afectadas.
5 Basar el proceso de aprobación en criterios de aceptación

definidos, acordados con las partes interesadas clave antes
del comienzo de la fase del proyecto o iteración entregable.
6 Evaluar el proyecto en las fases, liberaciones o iteraciones

mayores acordadas. Establecer decisiones formales de
seguir o no seguir adelante conforme a los criterios críticos
de éxito predeterminados.
7 Establecer y activar un sistema de control de cambio para el

proyecto con la finalidad de que todos los cambios de la
línea de referencia del proyecto (p. ej. alcance, beneficios
de negocio esperados, calendario, calidad, coste, nivel de
riesgo) se revisen, aprueben e incorporen en el plan
integrado del proyectos en línea con el marco de gobierno
de proyectos y programas.
8 Medir el rendimiento de los proyectos con respecto a los

criterios clave de rendimiento del proyecto. Analizar las
desviaciones causadas con respecto a los criterios clave de
rendimiento del proyecto y evaluar los efectos positivos y
negativos en el proyecto.
9 Supervisar los cambios en el proyecto y revisar los criterios

clave de rendimiento del proyecto para determinar si siguen
representando medidas de progreso válidas.
10 Recomendar y supervisar medidas correctivas, cuando sea

necesario, conforme al marco de gobierno del proyecto.
Práctica de Gobierno (gestión): 07 -Gestionar los recursos del proyecto y los paquetes de trabajo
Indicadores Asociados: a. Número de problemas de recursos (p. ej., habilidades, capacidad)
b. Número de roles, responsabilidades y prerrogativas del gestor del proyecto, personal asignado y otras partes involucradas, claramente definidas
Fecha
Implementación
1 Identificar las necesidades de recursos del negocio y de TI
para el proyecto y asignar roles y responsabilidades
adecuados, con escalamiento, y autoridad para la toma de
decisiones acordadas y comprendidas.
Página 137
2 Identificar las habilidades y tiempo requeridos por todos los
individuos involucrados en las fases del proyecto con
relación a los roles definidos. Asignar personal a los roles
conforme a la información de habilidades disponibles (p. ej.,
matriz de habilidades de TI).
3 Utilizar una gestión de proyectos experta y los recursos de

líderes de equipo con las habilidades apropiadas al tamaño,
complejidad y riesgo del proyecto.
4 Considerar y definir claramente los roles y responsabilidades

de otras partes involucradas, incluyendo finanzas, legal,
adquisiciones, recursos humanos, auditoría interna y
cumplimiento.
5 Definir y acordar claramente la responsabilidad de la

adquisición y gestión de productos y servicios de terceros y,
gestionar la relación.
6 Identificar y autorizar la ejecución del trabajo conforme al

plan del proyecto.
7 Identificar las brechas del plan del proyecto y proporcionar
retroalimentación al gestor de proyectos para que las
corrija.
Práctica de Gobierno (gestión): 08 -Gestionar los recursos del proyecto y los paquetes de trabajo
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas expresado en la revisión de cierre del proyecto
b. Porcentaje de resultados con aceptación en primera instancia
Fecha
Implementación
1 Identificar las necesidades de recursos del negocio y de TI
para el proyecto y asignar roles y responsabilidades
adecuados, con escalamiento, y autoridad para la toma de
decisiones acordadas y comprendidas.
2 Identificar las habilidades y tiempo requeridos por todos los

individuos involucrados en las fases del proyecto con
relación a los roles definidos. Asignar personal a los roles
conforme a la información de habilidades disponibles (p. ej.,
matriz de habilidades de TI).
3 Utilizar una gestión de proyectos experta y los recursos de

líderes de equipo con las habilidades apropiadas al tamaño,
complejidad y riesgo del proyecto.
4 Considerar y definir claramente los roles y responsabilidades

de otras partes involucradas, incluyendo finanzas, legal,
adquisiciones, recursos humanos, auditoría interna y
cumplimiento.
5 Definir y acordar claramente la responsabilidad de la

adquisición y gestión de productos y servicios de terceros y,
gestionar la relación.
6 Identificar y autorizar la ejecución del trabajo conforme al

plan del proyecto.
7 Identificar las brechas del plan del proyecto y proporcionar
retroalimentación al gestor de proyectos para que las
corrija.
Página 138
Práctica de Gobierno (gestión): 09 -Cerrar un proyecto o iteración
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas expresado en la revisión de cierre del proyecto
b. Porcentaje de resultados con aceptación en primera instancia
Fecha
Compromiso
Implementación
1 Obtener la aceptación de las partes interesadas para los
entregables del proyecto y transferir la propiedad.
2 Definir y aplicar los pasos claves para el cierre del proyecto,
incluidas las revisiones post-implementación que evalúan si
un proyecto ha alcanzado los resultados deseados.
3 Planificar y ejecutar revisiones post-implementación para

determinar si los proyectos ofrecen los resultados
esperados. Mejorar la gestión del proyecto y la metodología
de procesos de desarrollo de sistemas.
4 Identificar, asignar, comunicar y hacer un seguimiento a

cualquier actividad incompleta requerida para garantizar
que el proyecto ofrezca los resultados requeridos en
términos de capacidades y, que los resultados contribuyen
como se esperaba a los beneficios del programa.
5 De forma regular, y al finalizar el proyecto, recopilar las

lecciones aprendidas de los participantes del proyecto.
Revisarlas junto con las actividades clave que llevaron a
obtener beneficios y valor. Analizar los datos y realizar
recomendaciones para mejorar el proyecto actual y el
método de gestión de proyectos para proyectos futuros.
Página 139
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Entregar, dar servicio y soporte

Objetivo de Gestión: DSS01 -Gestionar las operaciones Prioridad de Implementación: Etapa 1
Proceso relacionado del Marco Normativo: Administración de la Infraestructura Tecnológica
Riesgos Asociados: Porcentaje Fecha Conclusión
Implementable Avance Implementación
Práctica de Gobierno (gestión): 01 - Ejecutar procedimientos operativos
Indicadores Asociados: a. Número de incidentes causados por problemas operativos
b. Número de procedimientos operativos no estándar ejecutados
Fecha
Implementación
1 Desarrollar y mantener los procedimientos operativos y las
actividades relacionadas para respaldar todos los servicios
prestados.
2 Mantener un calendario de las actividades operativas y

ejecutar las actividades.
3 Comprobar que todos los datos esperados para su
procesamiento se reciban y procesen de forma completa,
precisa y en el plazo debido.
Entregar el producto conforme a los requisitos de la
empresa. Soportar las necesidades de reinicios y
reprocesamientos. Asegurar que los usuarios reciban los
productos adecuados de forma segura y en el plazo debido.
4 Gestionar el rendimiento y throughput de las actividades

programadas.
5 Monitorizar los incidentes y problemas relacionados con los
procedimientos operativos y realizar las acciones adecuadas
para mejorar la confiabilidad de las tareas operativas
ejecutadas.
Práctica de Gobierno (gestión): 02 - Gestionar servicios tercerizados de I&T.
Indicadores Asociados: a. Número de KPI específicos/SMART incluidos en los contratos de externalización

b. Frecuencia de falla del socio subcontratista para cumplir con los KPI
Fecha
Implementación
1 Asegurar que los requisitos de los procesos de seguridad de
la información de la empresa cumplan con los contratos y
SLA de hosting de terceros o proveedores de servicios.
2 Asegurar que los requisitos de procesamiento operacional

del negocio y de TI de la empresa y las prioridades para la
prestación de servicios cumplan con los contratos y SLA de
hosting de terceros o proveedores de servicios.
Página 140
3 Integrar los procesos de gestión de TI internos críticos con
los de los proveedores de servicios externalizados. Esto
debería cubrir, por ejemplo, la planificación de rendimiento
y capacidad, gestión del cambio, gestión de la configuración,
solicitud de servicios y gestión de
incidentes, gestión de problemas, gestión de la seguridad,
continuidad del negocio y monitorización del rendimiento y
reporte del proceso.
4 Planificar una auditoría independiente y el aseguramiento

de los entornos operacionales de proveedores que
proporcionen servicios externalizados para confirmar que se
han abordado de forma adecuada los requisitos acordados.
Práctica de Gobierno (gestión): 03 - Monitorizar la infraestructura de I&T.
Indicadores Asociados: a. Porcentaje de tipos de eventos operativos críticos cubiertos por sistemas de detección automática
b. Porcentaje de activos de infraestructura monitorizados conforme a la criticidad del servicio y la relación entre los elementos de
configuración y servicios que dependen de ellos
Fecha
Implementación
1 Registrar los eventos. Identificar el nivel de información que
debe registrarse, conforme a una consideración de riesgo y
rendimiento.
2 Identificar y mantener una lista de activos de infraestructura

que deben monitorizarse conforme a la criticidad del
servicio y la relación entre los elementos de configuración y
servicios que dependen de ellos
3 Definir e implementar reglas que identifiquen y registren

incumplimientos de umbrales y los estados de eventos.
Encontrar un equilibrio entre la generación de eventos
menores insignificantes y eventos significativos para que los
registros de eventos no estén sobrecargados de
información innecesaria.
4 Producir registros de eventos y conservarlos durante un

periodo de tiempo adecuado para que ayuden en futuras
investigaciones.
5 Garantizar que se creen tickets de incidentes en el plazo

debido a la hora de monitorizar desviaciones identificadas
en los umbrales definidos.
6 Establecer procedimientos para monitorizar los registros de

eventos. Llevar a cabo revisiones regulares.
Práctica de Gobierno (gestión): 04 - Gestionar el medioambiente.
Indicadores Asociados: a. Número de personas capacitadas para responder a los procedimientos de alarma medioambiental
b. Número de escenarios de riesgo definidos para las amenazas medioambientales
Fecha
Implementación
1 Identificar los desastres naturales y causados por el hombre
que podrían ocurrir en el área en la que se encuentran las
instalaciones de TI.
Evaluar el efecto potencial en las instalaciones de TI.
Página 141
2 Identificar cómo el equipo de I&T, incluido el equipo móvil y
el off-site, se protege de las amenazas medioambientales.
Asegurar que la política limita o excluye el consumo de
comida, bebida y fumar en áreas sensibles, y prohibir el
almacenamiento de artículos de papelería y otros
suministros que suponen un peligro de incendio en las salas
de ordenadores.
3 Mantener los centros de TI y salas de servidores limpios y

seguros en todo momento (es decir, sin desorden, papel,
cajas de cartón, papeleras llenas, productos químicos o
materiales inflamables).
4 Situar y construir las instalaciones de TI para minimizar y

mitigar la susceptibilidad a las amenazas medioambientales
(p. ej., robo, aire, incendio, humo, agua, vibración,
terrorismo, vandalismo, químicos, explosivos). Considerar
zonas de seguridad y/o células ignífugas específicas (p. ej.,
ubicar los entornos/servidores de producción y desarrollo
apartado uno del otro).
5 Comparar las medidas y planes de contingencia con los

requisitos de las políticas de seguros y los resultados del
informe. Abordar los puntos de incumplimiento en el plazo
debido.
6 Responder a las alarmas medioambientales y a otras

notificaciones. Documentar y probar los procedimientos, lo
cual debería incluir la priorización de alarmas y contacto con
las autoridades de respuesta a emergencia locales.
Capacitar al personal en estos procedimientos.
7 Monitorizar y mantener regularmente dispositivos que

detecten proactivamente amenazas medioambientales (p.
ej., fuego, agua, humo,humedad).
Práctica de Gobierno (gestión): 05 - Gestionar las instalaciones.
Indicadores Asociados: a. Tiempo transcurrido desde la última prueba del suministro de energía ininterrumpida
b. Número de personas formadas en normas de salud y seguridad
Fecha
Implementación
1 Examinar los requisitos de protección de las instalaciones de
TI con respecto a las fluctuaciones y cortes eléctricos, junto
con otros requisitos de planificación de continuidad del
negocio. Procurar un equipo de suministro ininterrumpido
adecuado (p. ej., baterías, generadores) para respaldar la
planificación de continuación del negocio.
2 Probar regularmente los mecanismos de suministro

eléctrico ininterrumpidos. Asegurar que la electricidad
pueda cambiar a otra fuente de alimentación sin ningún
efecto significativo en las operaciones del negocio
Página 142
3 Asegurar que las instalaciones que acogen los sistemas de
I&T cuenten con más de una fuente para las utilidades de
servicios dependientes (p. ej., electricidad,
telecomunicaciones, agua, gas). Separar la entrada física de
cada utilidad de servicio.
4 Confirmar que el cableado exterior de la instalación de TI se

sitúe bajo tierra o tenga una protección alternativa
adecuada. Determinar que el cableado de la instalación de
TI se encuentre en conductos seguros, y el acceso a
armarios de cableado esté restringido a personal
autorizado. Proteger el cableado adecuadamente frente al
daño causado por el fuego, el humo, el agua, la intercepción
y la interferencia.
5 Asegurar que el cableado y los parches de cableado físico

(datos y teléfono) estén estructurados y organizados. Las
estructuras de cableado y conducción deberían estar
documentadas (p. ej., diagramas de cableado y planos de
construcción).
6 Educar al personal de forma regular sobre la legislación, las

regulaciones y directrices en salud y seguridad relevantes
Educar al personal sobre simulacros de incendio y rescate
para garantizar el conocimiento y las acciones tomadas en
caso de fuego o incidentes similares
7 Asegurar que las instalaciones y el equipo de TI se

mantengan conforme a los intervalos y especificaciones de
servicio recomendados por el proveedor. Asegurar que el
mantenimiento se realice solo por personal autorizado.
8 Analizar los sistemas de alojamiento de alta disponibilidad

de las instalaciones para comprobar redundancia y
requisitos de cableado a prueba de fallos (externo e
interno).
9 Asegurar que las instalaciones de TI cumplen con la

legislación, regulaciones y, directrices de salud y seguridad
y, las especificaciones de proveedores relevantes.
10 Registrar, monitorizar, gestionar y resolver incidentes en las

instalaciones en línea con el proceso de gestión de
incidentes de I&T. Poner a
disposición informes sobre incidentes en las instalaciones
que la legislación y las regulaciones obligan a hacer públicos.
11 Analizar las alteraciones físicas de las instalaciones de TI

para reevaluar el riesgo medioambiental (p. ej., daño por
fuego o agua). Informar los resultados de este análisis a la
dirección de instalaciones y continuidad del negocio.
Página 143
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: DSS02 Gestionar las peticiones y los incidentes de servicio Prioridad de Implementación: Etapa 2
Riesgos Asociados: Regresar a Inicio Implementable Porcentaje Fecha Conclusión
Práctica de Gobierno (gestión): 01 - Definir esquemas de clasificación para incidentes y peticiones d
Indicadores Asociados: a. Número total de solicitudes e incidentes de servicio por nivel de prioridad
b. Número total de incidentes escalados
Fecha
Implementación
1 Definir esquemas de priorización y clasificación de
solicitudes de servicios e incidentes, y los criterios para el
registro de problemas. Usar esta información para
garantizar estrategias constantes a fin de gestionar e
informar a los usuarios sobre los problemas y llevar a cabo
análisis de tendencias.
2 Definir modelos de incidentes sobre errores conocidos para

permitir una resolución eficiente y eficaz.
3 Definir modelos de solicitud de servicios conforme al tipo de
solicitud de servicios para permitir la autoayuda y un
servicio eficiente para solicitudes estándar.
4 Definir las reglas y procedimientos de escalamiento de

incidentes, sobre todo para incidentes importantes e
incidentes de seguridad.
5 Definir las fuentes de conocimiento sobre incidentes y

solicitudes y describir cómo usarlas.
Práctica de Gobierno (gestión): 02 -Registrar, clasificar y priorizar las peticiones e incidentes

Indicadores Asociados: a. Número de tipos y categorías definidos para registrar solicitudes e incidentes de servicio
b. Número de solicitudes e incidentes de servicio no clasificados
Fecha
Implementación
1 Registrar todas las solicitudes e incidentes de servicio,
mediante el registro de toda la información relevante, para
que pueda gestionarse de forma eficaz y pueda mantenerse
un registro histórico completo.
2 Permitir el análisis de tendencias, clasificar las solicitudes e

incidentes de servicio, con identificación del tipo y
categoría.
3 Priorizar solicitudes e incidentes de servicio basados en la

definición del servicio de SLA según el impacto y la urgencia
para el negocio.
Práctica de Gobierno (gestión): 03 - Verificar, aprobar y resolver peticiones de servicio.

Página 144
Indicadores Asociados: a. Tiempo promedio transcurrido para la gestión de cada tipo de solicitud de servicio
b. Porcentaje de solicitudes de servicio que cumplen con los criterios de solicitud definidos
Fecha
Implementación
1 Comprobar el derecho a las solicitudes de servicio,
utilizando un flujo de proceso predefinido y cambios
estándar, cuando sea posible.
2 Obtener la aprobación y confirmación financiera y funcional,

si fuera necesario, o las aprobaciones predefinidas para los
cambios estándar acordados.
3 Cumplir con las solicitudes realizando el proceso de solicitud

seleccionado. Cuando sea posible, usar menús automáticos
de autoayuda y modelos de solicitud predefinidas para
elementos solicitados con frecuencia.
Práctica de Gobierno (gestión): 04 - Investigar, diagnosticar y asignar incidentes..

Indicadores Asociados: a. Número de síntomas de incidentes identificados y registrados
b. Número de causas de síntomas correctamente determinadas
1 Identificar y describir síntomas relevantes para establecer

las causas más probables de los incidentes. Referenciar los
recursos de conocimientos disponibles (incluidos errores y
problemas conocido) para identificar posibles resoluciones
de incidentes (soluciones temporales y/o permanentes).
2 Si un problema relacionado o error conocido no existe

todavía y si el incidente satisface los criterios acordados
para el registro de problemas, registrarlo como un problema
nuevo.
3 Asignar incidentes a funciones de especialista si se necesita

una mayor habilidad. Contar con el nivel directivo
adecuado, donde y si se necesita.
Práctica de Gobierno (gestión): 05 - Resolver y recuperarse de los incidentes..

Indicadores Asociados: a. Porcentaje de incidentes resueltos dentro de los SLA acordados
b. Porcentaje de satisfacción de las partes interesadas con la solución y recuperación del incidente
Fecha
Implementación
1 Seleccionar y aplicar las resoluciones de incidentes más
adecuadas (solución workaround y/o solución permanente).
2 Registrar, si se usaron, workarounds para la resolución de

incidentes.
3 Aplicar medidas correctivas, si se requieren.
4 Documentar la resolución de incidentes y evaluar si la
resolución puede usarse como una fuente de conocimiento
futura.
Práctica de Gobierno (gestión): 06 - Cerrar las peticiones de servicio y los incidentes.

Página 145
Indicadores Asociados: a. Nivel de satisfacción del usuario con el cumplimiento de la petición de servicio
b. Porcentaje de incidentes resueltos dentro del periodo de tiempo acordado/aceptado
Fecha
Implementación
1 Comprobar con los usuarios afectados que la solicitud de
servicio se ha cumplido de forma satisfactoria o el incidente
se ha resuelto de forma satisfactoria dentro de un plazo de
tiempo acordado/aceptable.
2 Cerrar las peticiones e incidentes de servicio.
Práctica de Gobierno (gestión): 07 - Hacer seguimiento al estado y producir informes.

Indicadores Asociados: a. Tiempo promedio entre incidentes para el servicio habilitado por I&T
b. Número y porcentaje de incidentes que causan interrupciones en procesos críticos del negocio
Fecha
Implementación
1 Supervisar y hacer seguimiento al escalamientos y
resoluciones de incidentes y solicitar procedimientos de
manejo para progresar hacia laresolución o finalización de
los mismos.
2 Identificar las partes interesadas en la información y sus

necesidades de datos o informes. Identificar frecuencia y
medio de elaboración de los reportes.
3 Producir y distribuir informes en el plazo debido o

proporcionar un acceso controlado a los datos en línea.
4 Analizar incidentes y solicitudes de servicio por categoría y
tipo. Establecer tendencias e identificar patrones de
problemas recurrentes, violaciones o ineficiencias del SLA.
5 Usar la información como un insumo a la planificación de la

mejora continua.
Página 146
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: DSS03 - Gestionar los problemas Prioridad de Implementación: Etapa 2
Riesgos Asociados: Porcentaje Fecha Conclusión
Implementable
Práctica de Gobierno (gestión): 01 -Identificar y clasificar los problemas.
Indicadores Asociados: a. Porcentaje de incidentes mayores para los que se registraron problemas
b. Porcentaje de incidentes resueltos conforme a los SLA acordados
c. Porcentaje de problemas identificados correctamente, incluida la clasificación, categorización y priorización de los mismos
Fecha
Implementación
1 dentificar problemas a través de la correlación de informes
de incidentes, registros de errores y otros recursos que
permitan la identificación de problemas.
2 Gestionar todos los problemas formalmente con acceso a

todos los datos relevantes. Incluir información del sistema
de gestión de cambios de TI y de configuración/activo de TI
y los detalles del incidente.
3 Definir grupos de soporte adecuados para ayudar en la

identificación de problemas, análisis de la causa raíz y
determinación de soluciones para respaldar la gestión de
problemas. Determinar grupos de soporte conforme a las
categorías predefinidas, como hardware, red, software,
aplicaciones y software de soporte.
4 Definir niveles de prioridad a través de la consulta con el

negocio para garantizar que la identificación del problema y
el análisis de las causas raíz se gestionan en el plazo debido
conforme a los SLA acordados. Basar los niveles de prioridad
en el impacto y la urgencia del negocio
5 Informar del estado de los problemas identificados a la

mesa de servicio, para que los clientes y gestores de TI
puedan mantenerse informados.
6 Mantener un único catálogo de gestión de problemas para

registrar e informar sobre los problemas identificados. Usar
el catálogo para establecer pistas de auditoría de los
procesos de gestión de problemas incluido el estado de
cada problema (es decir, abierto, reabierto, en curso o
cerrado).
Práctica de Gobierno (gestión): 02 - Investigar y diagnosticar problemas.

Indicadores Asociados: a. Número de problemas identificados clasificados como errores conocidos
b. Porcentaje de problemas investigados y diagnosticados a lo largo de su ciclo de vida
Página 147
Fecha
Implementación
1 Identificar problemas que podrían ser errores conocidos
mediante una comparación de los datos de incidentes con la
base de datos de errores conocidos y sospechados (p. ej.,
aquellos comunicados por proveedores externos) Clasificar
los problemas como errores conocidos.
2 Asociar los elementos de configuración afectados con el

error establecido/conocido.
3 Producir informes para comunicar el progreso a la hora de
resolver problemas y gestionar el impacto continuo de los
problemas no resueltos.
Monitorizar el estado del proceso de manejo de problemas
a lo largo de su ciclo de vida, incluyendo los insumos de la
gestión de cambios y de la configuración de TI.
Práctica de Gobierno (gestión): 03 - Presentar los errores conocidos..

Indicadores Asociados:

1 Tan pronto como se identifiquen las causas raíz de los

problemas, crear registros de los errores conocidos y
desarrollar una solución temporal apropiada.
2 Identificar, evaluar, priorizar y procesar (a través de la

gestión de cambio de TI) soluciones a los errores conocidos,
conforme al coste/ beneficio del caso de negocio, el
impacto y la urgencia.
Práctica de Gobierno (gestión): 04 - Resolver y cerrar los problemas.

Indicadores Asociados: a. Número de problemas con resolución satisfactoria que abordan las causas raíz
b. Porcentaje de satisfacción de las partes interesada con la identificación de las causas raíz, la creación de registros de errores conocidos y
1 Cerrar los registros de problemas después de la

confirmación sobre la eliminación exitosa del error conocido
o después del acuerdo con el negocio sobre cómo gestionar
el problema de forma alternativa.
2 Informar a la mesa de servicio sobre el calendario de cierre

de problemas (p. ej., el calendario para solucionar los
errores conocidos, la posible solución temporal o el hecho
de que el problema seguirá ahí hasta que se implemente el
cambio) y las consecuencias de la estrategia llevada a cabo.
Mantener a los usuarios y clientes afectados informados
como corresponda.
3 A través del proceso de resolución, obtener informes

regulares de gestión de cambios de TI relacionados con el
progreso a la hora de resolver problemas y errores.
4 Monitorizar el impacto continuo de los problemas y errores

conocidos en los servicios.
Página 148
5 Revisar y confirmar la resolución satisfactoria de problemas
mayores.
6 Asegurar que el conocimiento aprendido de la revisión se
incorpore a la reunión de revisión de servicios con el cliente
del negocio.
Práctica de Gobierno (gestión): 05 - Realizar una gestión proactiva de los problemas.

Indicadores Asociados: a. Reducir el número de incidentes recurrentes causados por problemas no resueltos
b. Porcentaje de soluciones temporales definidas para los problemas abiertos
Fecha
Implementación
1 Captar la información del problema relacionada con
cambios e incidentes de I&T y comunicarla a las partes
interesadas clave. Comunicar a través de informes y
reuniones periódicas entre los dueños de los procesos de
incidentes, problemas, cambios y gestión de la
configuración para considerar los problemas recientes y las
posibles acciones correctivas.
2 Garantizar que los dueños y gestores de los procesos de

gestión de incidentes, problemas, cambios y configuración
se reúnan regularmente para comentar los problemas
conocidos y los cambios planificados futuros.
3 Identificar e iniciar soluciones sostenibles (soluciones

permanentes) que aborden la causa raíz . Presentar
solicitudes de cambio a través de los procesos establecidos
de gestión de cambios..
4 Permitir a la empresa supervisar los costes totales de los

problemas, captar los esfuerzos de cambios derivados de las
actividades del proceso de gestión de problemas (p. ej.,
soluciones a problemas y errores conocidos) e informar al
respecto.
5 Crear informes para supervisar la resolución de problemas

en relación con los requisitos del negocio y los SLAs.
Asegurar el escalamiento adecuado de los problemas, como
comunicarlos al siguiente nivel directivo conforme a los
criterios acordados, contactar con proveedores externos o
consultar con el consejo asesor de cambios (CAB) para
aumentar la prioridad de una solicitud de cambio urgente
(RFC) para implementar una solución temporal .
6 Optimizar el uso de recursos y reducir el uso de soluciones

temporales; hacer un seguimiento a las tendencias de los
problemas.
Página 149
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Entregar, dar servicio y soporte Prioridad de Implementación: Etapa 1

Objetivo de Gestión: DSS04 -Gestionar la continuidad
Proceso relacionado del Marco Normativo: Continuidad y Disponibilidad Operativa de los Servicios Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Definir la política de continuidad del negocio, sus objetivos y alcance.
Indicadores Asociados: a. Porcentaje de objetivos y alcance de continuidad del negocio reprocesados debido a procesos y actividades no identificados
b. Porcentaje de partes interesadas clave que participan, definen y acuerdan la política y el alcance de continuidad
Fecha
Compromiso
Implementación
1 Identificar procesos de negocio y actividades de servicio
internos y externalizados que son críticos para las
operaciones empresariales o necesarios para satisfacer las
obligaciones legales y/o contractuales.
2 Identificar partes interesadas clave y los roles y

responsabilidades para definir y acordar la política y el
alcance de continuidad.
3 Definir y documentar los objetivos de política mínimos

acordados y el alcance de la resiliencia del negocio.
4 Identificar procesos de negocio de soporte esenciales y
servicios de I&T relacionados.
Práctica de Gobierno (gestión): 02 - Mantener la resiliencia del negocio.

Indicadores Asociados: a. Inactividad total derivada de un incidente o interrupción importante.
b. Porcentaje de partes interesadas clave involucradas en el análisis de impacto del negocio que evalúan el impacto a lo largo del tiempo de duración de una interrupción de funciones
Fecha
Implementación
1 Identificar escenarios potenciales que podrían ocasionar
eventos que darían lugar a incidentes disruptivos
significativos.
2 Conducir un análisis de impacto del negocio para evaluar el

impacto a lo largo del tiempo de duración de una disrupción
de funciones críticas del negocio y el efecto que una
interrupción tendría en ellas.
3 Establecer el tiempo mínimo necesario para recuperar un

proceso de negocio y el entorno de I&T que lo soporta,
conforme a una duración aceptable de interrupción del
negocio y la suspensión tolerable máxima.
4 Determinar las condiciones y los dueños de las decisiones

clave que ocasionarán que se invoquen los planes de
continuidad.
Página 150
5 Evaluar la probabilidad de amenazas que pudieran causar la
pérdida de la continuidad del negocio. Identificar medidas
que reducirán la probabilidad y el impacto a través de una
mejor prevención y una mayor resiliencia.
6 Analizar requisitos de continuidad para identificar posibles

opciones estratégicas empresariales y técnicas.
7 Identificar los requisitos y costes de recursos para cada
opción técnica estratégica y realizar recomendaciones
estratégicas.
8 Obtener la aprobación de ejecutivos del negocio para las

opciones estratégicas seleccionadas.
Práctica de Gobierno (gestión): 03 -Desarrollar e implementar una respuesta de continuidad del neg
Indicadores Asociados: a. Número de sistemas críticos de negocio no cubiertos por el plan
b. Porcentaje de partes interesadas clave involucradas en el desarrollo de BCPs y DRPs
Fecha
Implementación
1 Definir acciones y comunicaciones de respuesta a incidentes
que se deban tomar en caso de interrupción. Definir roles y
responsabilidades relacionados, incluida la rendición de
cuentas para la política y la implementación.
2 Garantizar que los proveedores clave y socios externalizados

cuenten con planes de continuidad efectivos. Obtener
evidencia auditada según se requiera.
3 Definir las condiciones y los procedimientos de recuperación

que permitirán la reanudación del procesamiento de
negocio. Incluir la actualización y sincronización de bases de
datos para preservar la integridad de la información.
4 Desarrollar y mantener BCPs y DRPs operativos que

contengan los procedimientos a seguir para permitir el
funcionamiento continuo de procesos de negocio críticos
y/o acuerdos de procesamiento temporales. Incluir vínculos
a los planes de proveedores de servicios externalizados.
5 Definir y documentar los recursos requeridos para respaldar

los procedimientos de continuidad y recuperación, teniendo
en cuenta las personas, las instalaciones y la infraestructura
de TI.
6 Definir y documentar los requisitos de copias de seguridad

de la información necesarios para respaldar los planes.
Incluir planes y documentos en papel, así como archivos de
datos. Considerar la necesidad de seguridad y
almacenamiento fuera de las instalaciones.
7 Determinar las habilidades requeridas para los individuos

involucrados en la ejecución del plan y los procedimientos..
8 Distribuir los planes y la documentación soporte de forma

segura a las partes interesadas debidamente autorizadas.
Asegurar que los planes y la documentación son accesibles
en todos los escenarios de desastre
Página 151
Práctica de Gobierno (gestión): 04 -Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP).
Indicadores Asociados: a. Frecuencia de las pruebas
b. Número de ejercicios y pruebas que alcanzaron los objetivos de recuperación
Fecha
Implementación
1 Definir objetivos para ejercitar y probar los sistemas del
negocio, técnicos, logísticos, administrativos,
procedimentales y operativos del plan para verificar la
integridad de los BCP y DRP en el cumplimiento del riesgo
del negocio.
2 Definir y acordar ejercicios con las partes interesadas que

sean realistas y validen los procedimientos de continuidad.
Incluir roles y responsabilidades y acuerdos de retención de
datos que causen la mínima disrupción a los procesos del
negocio
3 Asignar roles y responsabilidades para la ejecución de

ejercicios y pruebas del plan de continuidad.
4 Programar ejercicios y actividades de prueba de acuerdo a
lo definido en los planes de continuidad.
5 Llevar a cabo una sesión informativa y un análisis luego del
ejercicio para considerar lo alcanzado.
6 De acuerdo a los resultados de la revisión, desarrollar
recomendaciones para mejorar los planes de continuidad
actuales.
Práctica de Gobierno (gestión): 05 - Revisar, mantener y mejorar los planes de continuidad.

Indicadores Asociados: a. Porcentaje de mejoras acordadas para el plan que se han incorporado al plan
b. Porcentaje de planes de continuidad y evaluaciones del impacto en el negocio que se encuentran actualizados
Fecha
Compromiso
Implementación
1 Revisar regularmente los planes de continuidad y la
capacidad contra las hipótesis consideradas y los objetivos
estratégicos y operativos actuales del negocio.
2 Revisar de forma regular los planes de continuidad para

considerar el impacto de cambios nuevos o mayores en la
organización empresarial, procesos de negocio, acuerdos
con terceros, tecnologías, infraestructura, sistemas
operativos y sistemas de aplicación.
3 Considerar si pudiera necesitarse revisar la evaluación de

impacto del negocio, dependiendo de la naturaleza del
cambio.
4 Recomendar cambios en la política, los planes,

procedimientos, infraestructura y roles y responsabilidades.
Comunicarlos como adecuados para la aprobación por la
dirección y el procesamiento a través del proceso de gestión
de cambios de TI.
Práctica de Gobierno (gestión): 06 -Realizar formación sobre el plan de continuidad.

Indicadores Asociados: a. Porcentaje de partes interesadas internas y externas que han recibido capacitación
b. Porcentaje de partes internas y externas relevantes cuyas habilidades y competencias se encuentran actualizadas
Página 152
Fecha
Implementación
1 Realizar formación y concienciación sobre el BCP y el DRP.
2 Definir y mantener los requisitos y planes de formación para

aquellas personas que realizan planificación de continuidad,
evaluaciones de impacto, evaluaciones de riesgo,
comunicación con medios de comunicación y respuesta a
incidentes. Asegurar que los planes de formación
consideren la frecuencia de capacitación y los mecanismos
de prestación de la formación.
3 Desarrollar competencias basadas en formación práctica,

incluida la participación en ejercicios y pruebas.
4 De acuerdo a los resultados de los ejercicios y las pruebas,
supervisar habilidades y competencias.
Práctica de Gobierno (gestión): 07 - Administrar los acuerdos de respaldo.

Indicadores Asociados: a. Porcentaje de medios de respaldo transferidos y almacenados de forma segura
b. Porcentaje de restauración exitosa y oportuna de copias de seguridad o copias de medios alternativos
Fecha
Implementación
1 Hacer una copia de seguridad de los sistemas, aplicaciones,
datos y documentación conforme a un calendario definido.
Considerar una frecuencia (mensual, semanal, diario, etc.),
modo de copia de seguridad (p. ej., disk mirroring para
copias de seguridad en tiempo real frente a DVD-ROM para
retención a largo plazo), tipo de copia de seguridad (p.ej.,
completa vs. incremental), y tipo de medios. Considerar
también copias de seguridad online automatizadas, tipos de
datos (p. ej. voz, ópticos), creación de logs, datos críticos de
computación de usuario final (p. ej., hojas de cálculo),
ubicación física y lógica de las fuentes de datos, derechos de
acceso y seguridad, y encriptación.
2 Definir requisitos para el almacenamiento en las

instalaciones (on-site) y fuera de ellas (off-site) de copias de
seguridad de datos, conforme a los requisitos de negocio.
Considerar el acceso requerido para hacer copias de
seguridad de los datos.
3 Probar y refrescar de forma periódica los datos archivados y

las copias de seguridad de los datos.
4 Garantizar que se haga una copia de seguridad o se
aseguren de forma adecuada los sistemas, aplicaciones,
datos y documentación mantenida o procesada por
terceros. Considerar que se requiera que los terceros
devuelvan las copias de seguridad. Considerar la opción de
mantenimiento en fiducia (escrow, por su término en inglés)
o acuerdos de depósitos.
Práctica de Gobierno (gestión): 08 -Realizar revisiones post-reanudación.

Indicadores Asociados: a. Porcentaje de problemas identificados que se han abordado posteriormente en el plan
b. Porcentaje de problemas identificados que se han abordado posteriormente en los materiales de formación
Página 153
Fecha
Implementación
1 Evaluar el cumplimiento de los BCP y DRP documentados.
2 Determinar la efectividad de los planes, capacidades de

continuidad, roles y responsabilidades, habilidades y
competencias, resiliencia a incidentes, infraestructura
técnica y estructuras organizativas y relaciones..
3 Identificar las debilidades u omisiones en los planes y

capacidades y realizar recomendaciones de mejora. Obtener
la aprobación de la dirección para cualquier cambio en los
planes y aplicarlos a través del proceso de control de
cambios de la empresa.
Página 154
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: DSS05 -Gestionar los servicios de seguridad
Proceso relacionado del Marco Normativo: Seguridad y Ciberseguridad Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Proteger contra software malicioso.

Indicadores Asociados: a. Número de ataques exitosos de software malicioso
b. Porcentaje de empleados que no pasan las pruebas de ataques maliciosos (p. ej., la prueba de correos electrónicos de phishing)
Fecha
Implementación
1 Instalar y activar herramientas de protección contra
software malicioso en todas las instalaciones de
procesamiento, con archivos de definición de software
malicioso que se actualizan según sea necesario
(automáticamente o semiautomáticamente)
2 Filtrar el tráfico de entrada, como el correo electrónico y las

descargas, para protegerlo de información no solicitada
(p.ej. spyware, correos electrónicos de phishing).
3 Comunicar acerca de concienciación sobre software

malicioso y hacer cumplir los procedimientos y
responsabilidades de prevención.
Impartir formación periódica sobre malware en el uso de
correo electrónico e Internet. Formar a los usuarios para
que no abran e informen sobre correos electrónicos
sospechosos y no instalen software compartido o no
aprobado.
4 Distribuir todo el software de protección centralmente

(versión y parches) usando una configuración centralizada y
la gestión de cambios de TI.
5 Revisar y evaluar la información sobre nuevas amenazas

potenciales (p. ej., revisión de los consejos de seguridad de
productos y servicios de proveedores) de forma regular.
Práctica de Gobierno (gestión): 02 -Gestionar la seguridad de la conectividad y de la red.

Indicadores Asociados: a. Número de brechas del firewall
b. Número de vulnerabilidades descubiertas
Fecha
Compromiso
Implementación
1 Permitir que solo los dispositivos autorizados tengan acceso
a la información corporativa y a la red de la empresa.
Configurar estos dispositivos para forzar la introducción de
contraseña.
Página 155
2 Implementar mecanismos de filtrado de red, como firewalls
y software de detección de intrusos. Hacer cumplir las
políticas adecuadas para controlar el tráfico entrante y
saliente.
3 Aplicar protocolos de seguridad aprobados a las conexiones

de red.
4 Configurar el equipo de red de forma segura.
5 Encriptar la información en tránsito de acuerdo a su
clasificación.
6 Establecer y mantener una política para la seguridad de la
conectividad con base en las evaluaciones de riesgo y los
7 Establecer mecanismos confiables para apoyar la

transmisión y recepción segura de la información.
8 Llevar a cabo pruebas de penetración periódicas para
determinar la idoneidad de la protección de la red.
9 Llevar a cabo pruebas periódicas a la seguridad del sistema
para determinar la idoneidad de la protección del sistema.
Práctica de Gobierno (gestión): 03 -Gestionar la seguridad de endpoint.

Indicadores Asociados: a. Número de incidentes que involucran a dispositivos endpoint
b. Número de dispositivos no autorizados detectados en la red o en el entorno de usuario final
Fecha
Implementación
1 Configurar los sistemas operativos de forma segura.
2 Implementar mecanismos de bloqueo de dispositivos.
3 Gestionar el acceso y control remotos (p.ej. dispositivos
móviles, teletrabajo)
4 Gestionar la configuración de red de forma segura.
5 Implementar el filtrado de tráfico de red en dispositivos de
punto final.
6 Proteger la integridad del sistema.
7 Proporcionar protección física a los dispositivos de punto
final.
8 Eliminar de forma segura los dispositivos Endpoint
9 Gestionar el acceso malicioso a través del correo electrónico
y los navegadores web. Por ejemplo, bloquear
determinados sitios web y desactivar los clics a enlaces para
los smartphones.
10 Encriptar la información almacenada de acuerdo a su

clasificación.
Práctica de Gobierno (gestión): 04 -Gestionar la identidad del usuario y el acceso lógico.

Indicadores Asociados: a. Tiempo promedio entre el cambio y la actualización de cuentas
b. Número de cuentas (vs. número de usuarios/personal autorizado)
Fecha
Compromiso
Implementación
Página 156
1 Mantener los derechos de acceso de los usuarios de
acuerdo con la función del negocio, los requisitos del
proceso y las políticas de seguridad. Alinear la gestión de
identidades y derechos de acceso con los roles y
responsabilidades definidos, basándose en los principios de
menor privilegio, necesidad-de-tener y necesidad-de-
conocer
2 Administrar oportunamente todos los cambios en los

derechos de acceso (creación, modificación y eliminación),
basándose únicamente en transacciones aprobadas y
documentadas que hayan sido autorizadas por personas
designadas por la dirección.
3 Segregar, reducir al mínimo necesario y gestionar

activamente cuentas de usuario privilegiadas. Asegurar la
supervisión de todas las actividades en estas cuentas.
4 Identificar de forma unívoca y por roles funcionales todas

las actividades de procesamiento de información.
Coordinarse con las unidades de negocio para asegurarse de
que todos los roles están definidos de manera consistente,
incluidos los roles definidos por el propio negocio dentro de
las aplicaciones de procesos del negocio.
5 Autenticar todo el acceso a activos de información de

acuerdo con el rol del individuo o a las reglas del negocio.
Coordinarse con las unidades de negocio que gestionan la
autenticación dentro de las aplicaciones utilizadas en los
procesos de negocio, con el fin de asegurar que los
controles de autenticación hayan sido administrados
adecuadamente.
6 Garantizar que todos los usuarios (internos, externos y

temporales) y su actividad en los sistemas de TI (aplicación
de negocio, infraestructura de TI, operaciones, desarrollo y
mantenimiento de sistemas) se puedan identificar de
manera unívoca.
7 Mantener un registro de auditoría del acceso a la

información dependiendo de su sensibilidad y de los
requisitos regulatorios.
8 Llevar a cabo revisiones gerenciales periódicas de todas las

cuentas y privilegios relacionados.
Práctica de Gobierno (gestión): 05 - Gestionar el acceso físico a los activos de I&T.

Indicadores Asociados: a. Calificación promedio de las evaluaciones de seguridad física
b. Número de incidentes relacionados con la seguridad de la información física
Fecha
Implementación
1 Registrar y monitorizar todos los puntos de entrada a las
instalaciones de TI. Registrar a todos los visitantes al sitio,
incluidos contratistas y proveedores.
2 Asegurar que todo el personal muestra una identificación

debidamente autorizada en todo momento
3 Requerir a los visitantes que estén acompañados en todo
momento durante su estancia en las instalaciones.
Página 157
4 Restringir y monitorizar el acceso a instalaciones sensibles
de TI, mediante el establecimiento de restricciones al
perímetro, como vallas, paredes y dispositivos de seguridad
en puertas interiores y exteriores.
5 Gestionar solicitudes para permitir el acceso debidamente

autorizado a las instalaciones de cómputo.
6 Garantizar que los perfiles de acceso permanezcan
actualizados. Basar el acceso a las instalaciones de TI (sala
de servidores, edificios, áreas o zonas) en el cargo y las
responsabilidades.
7 Realizar formación sobre concienciación de la seguridad de

la información física de forma regular.
Práctica de Gobierno (gestión): 06 -Gestionar documentos sensibles y dispositivos de salida.

Indicadores Asociados: a. Número de dispositivos de salida robados.
b. Porcentaje de documentos sensibles y dispositivos de salida identificados en el inventario
Fecha
Implementación
1 Establecer procedimientos para gobernar la recepción, uso,
retiro y desecho de documentos sensibles y dispositivos de
salida, dentro y fuera de la empresa.
2 Asegurar que se han establecido controles criptográficos

para proteger información sensible almacenada
electrónicamente.
3 Asignar privilegios de acceso a documentos sensibles y

dispositivos de salida con base en el principio de menor
privilegio, manteniendo un equilibrio entre el riesgo y los
4 Establecer un inventario de documentos sensibles y

dispositivos de salida y realizar reconciliaciones periódicas.
5 Establecer salvaguardas físicas adecuadas para documentos

sensibles.
Práctica de Gobierno (gestión): 07 - Gestionar las vulnerabilidades y monitorizar la infraestructura

Indicadores Asociados: a. Número de pruebas de vulnerabilidad llevadas a cabo en dispositivos perimetrales
b. Número de vulnerabilidades descubiertas durante las pruebas
Fecha
Implementación
1 Usar de forma continua un portafolio de tecnologías,
servicios y activos soportados (p. ej., escáneres de
vulnerabilidad, fuzzers y sniffers, analizadores de
protocolos) para identificar vulnerabilidades de seguridad
de la información.
2 . Definir y comunicar escenarios de riesgo para que se

puedan reconocer con facilidad y se pueda entender su
probabilidad e impacto.
3 Revisar regularmente los logs de eventos para detectar

posibles incidentes.
Página 158
4 Garantizar que se creen tickets relativos a incidentes de
seguridad de forma oportuna cuando la monitorización
identifique posibles incidentes.
5 Registrar eventos relacionados con la seguridad y conservar

los registros durante el periodo de tiempo apropiado.
Página 159
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: DSS06 -Gestionar los controles de procesos de negocio
Proceso relacionado del Marco Normativo: Gobernanza de TI Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 - Alinear las actividades de control incorporadas en los procesos de negocio con los objetivos empresariales.
Indicadores Asociados: a. Porcentaje de inventario de procesos críticos y controles clave completado
b. Porcentaje de controles de procesamiento alineados con las necesidades empresariales
Fecha
Implementación
1 Identificar y documentar las actividades de control
necesarias para procesos clave del negocio para satisfacer
los requisitos de control para los objetivos estratégicos,
operativos, de reporte y de cumplimiento.
2 Priorizar las actividades de control de acuerdo al riesgo

inherente al negocio. Identificar controles clave.
3 Garantizar la propiedad de las actividades de control clave.
4 Implementar controles automáticos.

5 Monitorizar continuamente las actividades de control de
principio a fin para identificar oportunidades de mejora.
6 Mejorar de forma continua el diseño y operación de los
controles de proceso del negocio.
Práctica de Gobierno (gestión): 02 -Controlar el procesamiento de información.

Indicadores Asociados: a. Número de incidentes y hallazgos de auditoría que indican un fallo de los controles clave
b. Porcentaje de cobertura de controles clave dentro de los planes de prueba
Fecha
Implementación
1 Autenticar al originador de las transacciones y comprobar
que el individuo tiene la autoridad para originar la
transacción
2 Garantizar una adecuada segregación de tareas con relación

al origen y aprobación de las transacciones.
3 Comprobar que las transacciones son precisas, completas y
válidas. Los controles podrían incluir secuencia, límite,
rango, validez, razonabilidad, comprobación de tablas,
existencia, verificación de clave, dígito de verificación,
completitud, comprobaciones de duplicados y relaciones
lógicas y ediciones temporales. Los criterios y parámetros de
validación deberían estar sujetos a revisiones y
confirmaciones periódicas. Validar los datos de entrada y
editarlos o, cuando sea aplicable, devolverlos para su
corrección lo más cerca posible del punto de origen.
Página 160
4 Sin comprometer los niveles de autorización de la
transacción original, corregir y reenviar los datos que se
introdujeron de forma errónea.
Cuando sea adecuado para la reconstrucción, conservar
documentos fuente originales durante el periodo de tiempo
adecuado.
5 Mantener la integridad y la validez de los datos durante el

ciclo de procesamiento. Asegurar que la detección de
transacciones erróneas no interrumpe el procesamiento de
transacciones válidas.
6 Manipular el resultado de forma autorizada, entregarlo al

destinatario adecuado y proteger la información durante la
transmisión. Verificar la exactitud e integridad del resultado.
7 Mantener la integridad de los datos durante interrupciones

inesperadas en el procesamiento del negocio. Confirmar la
integridad de los datos después de fallos en el
procesamiento.
8 Antes de pasar datos de transacciones entre aplicaciones

internas y funciones operativas/de negocio (dentro o fuera
de la empresa), comprobar el trato adecuado, la
autenticidad del origen y la integridad del contenido.
Mantener la autenticidad y la integridad durante la
transmisión o el transporte.
Práctica de Gobierno (gestión): 03 -Gestionar roles, responsabilidades, privilegios de acceso y

Indicadores Asociados: niveles de autoridad.
a. Número de incidentes y hallazgos de auditoría debido a violaciones de acceso o de separación de funciones
b. Porcentaje de roles de procesos de negocio con derechos de acceso y niveles de autoridad asignados
Fecha
Implementación
1 Asignar roles y responsabilidades conforme a las
descripciones del cargo y las actividades aprobadas del
proceso de negocio.
2 Asignar niveles de autoridad para la aprobación de

transacciones, límites de transacción y cualquier otra
decisión relacionada con el proceso de negocio, conforme a
roles de trabajo aprobados.
3 Asignar roles para actividades sensibles para que haya una

clara segregación de funciones.
4 Asignar derechos de acceso y privilegios basado en lo
mínimo requerido para realizar las actividades laborales,
conforme a roles de trabajo predefinidos. Eliminar o revisar
derechos de acceso de forma inmediata si el rol de trabajo
cambia o si un miembro del personal deja el área de
proceso de negocio. Revisar periódicamente para asegurar
que el acceso sea adecuado para las amenazas, riesgo,
tecnología y necesidades empresariales actuales.
5 Concienciar y formar regularmente sobre los roles y

responsabilidades, para que todos entiendan sus
responsabilidades; la importancia de los controles; y la
seguridad, integridad, confidencialidad y privacidad de la
información de la compañía en todas sus formas
6 Garantizar que los privilegios administrativos están

asegurados, rastreados y controlados de forma suficiente y
eficaz para prevenir el mal uso.
Página 161
7 Revisar periódicamente las definiciones de control de
acceso, los logs y los informes de excepción. Asegurar que
todos los privilegios de acceso son válidos y están alineados
con los miembros actuales del personal y sus roles
asignados.
Práctica de Gobierno (gestión): 04 -Gestionar errores y excepciones.

Indicadores Asociados: a. Frecuencia de las ineficiencias de procesamiento debido a entradas de datos incompletas
b. Número de errores detectados a tiempo
Fecha
Implementación
1 Revisar errores, excepciones y desviaciones.
2 Hacer un seguimiento, corregir, aprobar y reenviar los
documentos fuente y las transacciones.
3 Mantener evidencia de acciones correctivas.
4 Definir y mantener procedimientos para asignar la
propiedad de errores y excepciones, corregir errores, anular
errores y manejar condiciones fuera del balance.
5 Informar de manera oportuna sobre errores relevantes de

procesamiento de la información del negocio para realizar
un análisis de causa raíz y de tendencia
Práctica de Gobierno (gestión): 05 - Asegurar la trazabilidad y la rendición de cuentas de los evento

Indicadores Asociados: a. Número de incidentes en los que no se puede recuperar el historial de transacciones
b. Porcentaje de integridad del log de transacciones rastreables
Fecha
Implementación
1 Obtener la información fuente, evidencias de soporte y el
registro de transacciones.
2 Definir los requisitos de retención de acuerdo a los
requisitos del negocio para cumplir con las necesidades
operativas, de reportes financieros y de cumplimiento.
3 Disponer de la información fuente, las evidencias de soporte

y el registro de las transacciones conforme a la política de
retención
Práctica de Gobierno (gestión): 06Casos

a. -Asegurar los activos
de datos de información.
de transacciones sensibles enviados al destinatario erróneo
Indicadores Asociados: b. Frecuencia de integridad de datos críticos comprometida
Fecha
Implementación
1 Restringir el uso, distribución y el acceso físico a la
información de acuerdo con su clasificación.
2 Proporcionar una concienciación y formación adecuada
sobre el uso.
3 Aplicar las políticas y procedimientos de seguridad para la
clasificación y uso aceptable de datos y para proteger los
activos de información que están bajo control del negocio.
4 Identificar e implantar procesos, herramientas y técnicas

para verificar el cumplimiento de forma razonable.
5 Informar al negocio y a otras partes interesadas sobre
violaciones y desviaciones.
Página 162
Regresar a Inicio

NOMBRE INSTITUCIÓN
Dominio: Monitorizar, Evaluar y Valorar Prioridad de Implementación: Etapa 2

Objetivo de Gestión: MEA01 — Gestionar la supervisión del rendimiento y la conformidad Porcentaje Fecha Conclusión
Implementable
Proceso relacionado del Marco Normativo: Aseguramiento
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Establecer un enfoque de supervisión.
Indicadores Asociados: a. Porcentaje de procesos con metas y métricas definidos

b. Porcentaje de integración del enfoque de supervisión en el sistema de gestión de rendimiento corporativo
Fecha
Implementación
1 Identificar a las partes interesadas (p. ej., dirección, dueños
del proceso y usuarios).
2 Colaborar con las partes interesadas y comunicar los
requisitos y objetivos empresariales de supervisión,
recopilación y reporte, por medio del uso de definiciones
comunes (p. ej., glosario empresarial, metadatos y
taxonomía), análisis de referencia y benchmarking.
3. Alinear y mantener continuamente el enfoque de

supervisión y evaluación con el enfoque de la empresa y las
herramientas a utilizar para la recopilación de datos y la
generación de informes empresariales (p. ej., aplicaciones
de inteligencia de negocio).
4 Acordar los tipos de metas y métricas (p. ej., conformidad,

rendimiento, valor, riesgo), taxonomía (clasificación y
relaciones entre metas y métricas) y retención de datos
(evidencia).
5 Solicitar, priorizar y asignar recursos para la supervisión,

considerar la idoneidad, eficiencia, efectividad y
confidencialidad.
6. Validar periódicamente el enfoque usado e identificar

partes interesadas, requisitos y recursos nuevos o
cambiados.
7. Acordar una gestión del ciclo de vida y un proceso de
control de cambio para la supervisión y la presentación de
informes. Incluir oportunidades de mejora para el reporte,
métricas, enfoque, análisis de referencia y benchmarking.
Práctica de Gobierno (gestión): 02 Establecer objetivos de rendimiento y conformidad.
Indicadores Asociados: a. Porcentaje de metas y métricas aprobadas por las partes interesadas.
b. Porcentaje de procesos con revisión y mejora de la efectividad de metas y métricas
Fecha
Implementación
1 Definir las metas y métricas. Revisarlas periódicamente con
las partes interesadas para identificar cualquier elemento
significativo faltante y definir la razonabilidad de objetivos y
tolerancias.
2 Evaluar si las metas y métricas de gestión son adecuadas,

es decir, específicas, medibles, alcanzables, relevantes y
con tiempos determinados (SMART).
3. Comunicar los cambios propuestos a los objetivos y

tolerancias (relacionado con las métricas) de desempeño y
conformidad con partes interesadas clave (p.ej. legal,
auditoría, recursos humanos, ética, cumplimiento, finanzas)
de debida diligencia.
4 Publicar a los usuarios de esta información los objetivos y

tolerancias modificados.
Práctica de Gobierno (gestión): 03 Recopilar y procesar los datos de rendimiento y conformidad
Indicadores Asociados: a. Porcentaje de procesos críticos supervisados

b. Porcentaje del entorno de controles que es supervisado, analizado comparativamente y mejorado para cumplir con los objetivos de la organización

Implementación
1 Recopilar datos de procesos definidos (automatizados,
cuando sea posible).
2 Evaluar la eficiencia (esfuerzo con relación a la visión
proporcionada) y la idoneidad (utilidad y significado) de los
datos recopilados y validar la integridad de los datos
(precisión y completitud).
3. Agregar datos para respaldar la medición de métricas

acordadas.
4 Alinear los datos agregados al enfoque y objetivos del
reporte empresarial.
5. Usar herramientas y sistemas adecuados para el
procesamiento y análisis de datos.
Práctica de Gobierno (gestión): 04 Analizar e informar sobre el rendimiento.
Indicadores Asociados: a. Porcentaje de metas y métricas alineadas con el sistema de supervisión de la empresa
b. Porcentaje de informes de desempeño enviados conforme al plazo
c. Porcentaje de procesos con resultado asegurado en línea con los objetivos y dentro de las tolerancias
Fecha
Implementación
1 Diseñar informes de desempeño de proceso que sean
concisos, fáciles de entender y personalizados conforme a
las distintas necesidades de la dirección y audiencias.
Facilitar una toma de decisiones efectiva y oportuna (p.ej.
cuadros de mando, informes light de semáforos).
Asegurar que la causa y el efecto entre las metas y las
métricas se comunica de forma comprensible.
2 Distribuir informes a las partes interesadas relevantes.

3. Analizar la causa de las desviaciones con respecto a los
objetivos, iniciar medidas correctivas, asignar
responsabilidades para su corrección y hacer seguimiento.
En los momentos oportunos, revisar todas las desviaciones
y buscar las causas raíz, cuando sea necesario. Documentar
los problemas para mayor orientación por si el problema se
repite. Documentar los resultados.
4 Cuando sea posible, integrar el desempeño y el

cumplimiento en los objetivos de desempeño de los
miembros del personal y vincular el logro
de los objetivos de desempeño al sistema de compensación
de recompensas organizativo.
5. Comparar los valores de desempeño con los objetivos y

benchmarks internos y, cuando sea posible, con los
benchmarks externos (industria y competidores clave).
6. Analizar tendencias de desempeño y cumplimiento y tomar

las medidas oportunas.
7. Recomendar cambios a las metas y métricas, cuando
corresponda.
Práctica de Gobierno (gestión): 05 Asegurar la implementación de acciones correctivas.
Indicadores Asociados: a. Número de anomalías recurrentes.

b. Número de acciones correctivas implementadas.
Implementación
1 Revisar las respuestas, opciones y recomendaciones de la
dirección para abordar problemas y desviaciones
importantes.
2 Asegurar que se mantenga la asignación de

responsabilidades para las acciones correctivas.
3. Hacer un seguimiento a los resultados de las acciones
comprometidas.
4 Comunicar los resultados a las partes interesadas.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: MEA02 — Gestionar el sistema de control interno Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Supervisar los controles internos
Indicadores Asociados: a. Número de brechas mayores de control interno.

b. Porcentaje de entorno de controles y marco supervisados, analizados comparativamente y mejorados continuamente para cumplir con los objetivos de la organización
Fecha
Implementación
1 Identificar los límites del sistema de control interno. Por
ejemplo, considerar cómo los controles internos de la
organización, tienen en cuenta las actividades de desarrollo
o producción externalizadas y/o ubicadas en otro país
(offshore, término en inglés).
2 Evaluar el estado de los controles internos de los

proveedores de servicios externos. Confirmar que los
proveedores de servicio cumplen con los requisitos legales
y regulatorios y con sus obligaciones contractuales.
3. Realizar actividades de supervisión y evaluación del control

interno basadas en estándares de gobierno de la
organización y marcos y prácticas aceptados por la
industria. Incluye también la supervisión y evaluación de la
eficacia y eficiencia de las actividades de supervisión
gerencial.
4 Asegurar que las excepciones de control se comuniquen ,

se sigan y analicen prontamente, y que se prioricen e
implementen acciones correctivas apropiadas, conforme al
perfil de gestión de riesgos (p. ej., clasificar algunas
excepciones como riesgo clave y otras como riesgo no
clave).
5 Considerar evaluaciones independientes del sistema de

control interno (p. ej., por auditoría interna o
compañeros).
6. Mantener el sistema de control interno, considerando los
cambios continuos en el riesgo del negocio y de I&T, el
entorno de control de la
organización y los procesos del negocio y de I&T relevantes.
Si hay una brecha, evaluar y recomendar cambios.
7. Evaluar regularmente el desempeño del marco de control,

a través de una comparación con estándares y buenas
prácticas aceptadas por la
industria. Considerar la adopción formal de una estrategia
de mejora continua de la supervisión del control interno.
Práctica de Gobierno (gestión): 02 Revisar la eficacia de los controles del proceso de negocio.
Indicadores Asociados: a. Número de debilidades identificadas por calificaciones externas e informes de certificación.
b. Número de controles supervisados y probados para garantizar que los controles de los procesos de negocio operen de forma eficaz
Fecha
Implementación
1 Entender y priorizar el riesgo de los objetivos de la
organización.
2 Identificar controles clave y desarrollar una estrategia
adecuada para validar los controles.
3. Identificar información que indicará si un entorno de
control interno está funcionando de forma eficaz.
4 Conservar evidencias de la eficacia del control.
5 Desarrollar e implementar procedimientos rentables para
obtener esta información de acuerdo a los criterios de
calidad de la información correspondientes.
Práctica de Gobierno (gestión): 03 Realizar autoevaluaciones de control.
Indicadores Asociados: a. Número de autoevaluaciones realizadas.

b. Número de brechas identificadas en la autoevaluación frente a los estándares o buenas prácticas de la industria
Fecha
Implementación
1 Definir una estrategia acordada y consistente para realizar
autoevaluaciones de control y coordinarse con auditores
internos y externos.
2 Mantener planes de evaluación e identificación de criterios
y alcance para llevar a cabo las autoevaluaciones. Planificar
la comunicación de
los resultados del proceso de autoevaluación al negocio, a
TI y a la dirección general y al consejo de administración.
Considerar estándares de auditoría interna en el diseño de
las autoevaluaciones.
3. Determinar la frecuencia de las autoevaluaciones

periódicas, considerando globalmente la eficacia y
eficiencia de la supervisión continua.
4 Asignar las responsabilidades de la autoevaluación a los

individuos adecuados para garantizar la objetividad y la
competencia.
5 Proporcionar revisiones independientes para garantizar la

objetividad de la autoevaluación y permitir que se
compartan buenas prácticas de control interno de otras
empresas.
6. Comparar los resultados de las autoevaluaciones con los

estándares y buenas prácticas de la industria.
7. Resumir e informar de los resultados de las
autoevaluaciones y benchmarking para tomar acciones
correctivas.
Práctica de Gobierno (gestión): 04 Identificar e informar las deficiencias de control.
Indicadores Asociados: a. Tiempo transcurrido entre la ocurrencia de la deficiencia de control interno y el reporte
b. Tiempo transcurrido entre la identificación de la excepción y las acciones planteadas acordadas
c. Porcentaje de implementación de acciones correctivas derivadas de las evaluaciones de control

Implementación
1 Comunicar procedimientos para el escalamiento de las
excepciones de control, análisis de la causa raíz y
notificación a los dueños del proceso y a las partes
interesadas de I&T.
2 Considerar el riesgo empresarial relacionado para

establecer umbrales para el escalamiento de las
excepciones de control y fallos.
3. Identificar, reportar y registrar las excepciones de control.

Asignar responsabilidades para su resolución e informar de
su estado.
4 Decidir qué excepciones de control deberían comunicarse a

la persona responsable de la función y qué excepciones
deberían escalarse. Informar a los dueños del proceso y a
las partes interesadas.
5 Hacer un seguimiento de todas las excepciones para
garantizar que se han abordado las acciones acordadas.
6. Identificar, iniciar, seguir e implementar acciones
correctivas que surjan de las evaluaciones de control y los
reportes.
Regresar a Inicio

NOMBRE INSTITUCIÓN

Objetivo de Gestión: MEA03 — Gestionar el cumplimiento de los requisitos externos. Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Identificar los requisitos externos de cumplimiento.
Indicadores Asociados: a. Frecuencia de revisiones de requisitos de cumplimiento

b. Frecuencia de revisiones de requisitos de cumplimiento b. Porcentaje de satisfacción de las partes interesadas clave en el proceso de revisión del cumplimiento normativo.
Fecha
Implementación
1 Asignar la responsabilidad de identificar y supervisar los
cambios en los requisitos legales, regulatorios y otros
requisitos contractuales externos, relevantes para el uso de
recursos de TI y el procesamiento de la información dentro
de las operaciones empresariales y de TI.
2 Identificar y evaluar todos los posibles requisitos de

cumplimiento y su impacto en las actividades de I&T, en
áreas como flujo de datos, privacidad, controles internos,
informes financieros, regulaciones específicas de la
industria, propiedad intelectual, salud y seguridad en el
trabajo.
3. Evaluar el impacto de los requisitos legales y regulatorios

relacionados con I&T sobre contratos con terceros
relacionados con las operaciones de TI, proveedores de
servicio y otros socios comerciales de negocios.
4 Definir las consecuencias del incumplimiento.

5 Obtener asesoría independiente cuando corresponda,
sobre los cambios en la legislación, regulaciones y
estándares vigentes.
6. Mantener un registro actualizado de todos los requisitos

legales, regulatorios y contractuales; de su impacto y las
acciones requeridas.
7. Mantener un registro global, armonizado e integrado, de

los requisitos de cumplimiento externo para la empresa.
Práctica de Gobierno (gestión): 02 Optimizar la respuesta a los requisitos externos
Indicadores Asociados: a. Tiempo promedio entre la identificación de los problemas de cumplimiento externo y su resolución
b. Porcentaje de satisfacción del personal relevante con la comunicación de los requisitos de cumplimiento regulatorio, nuevos y modificados
Fecha
Implementación
1 Revisar y ajustar continuamente las políticas, principios,
estándares, procedimientos y metodologías para que sean
eficaces en garantizar el cumplimiento necesario y abordar
el riesgo empresarial. Usar expertos internos y externos,
cuando sea necesario.
2 Comunicar los requisitos nuevos y modificados a todo el

personal relevante.
Práctica de Gobierno (gestión): 03 Confirmar el cumplimiento externo
Indicadores Asociados: a. Número de problemas críticos de incumplimiento identificados cada año.

b. Porcentaje de dueños de procesos que aprueban y confirman el cumplimiento.
Fecha
Implementación
1 Evaluar regularmente las políticas, estándares,
procedimientos y metodologías organizativas en todas las
funciones de la empresa, para garantizar el cumplimiento
de todos los requisitos legales y regulatorios relevantes
relacionados con el procesamiento de la información.
2 Tratar las brechas de cumplimiento en políticas, estándares

y procedimientos con las debida oportunidad.
3. Evaluar periódicamente los procesos y actividades del

negocio y de TI para asegurar el cumplimiento de los
requisitos legales, regulatorios y contractuales vigentes.
4. Revisar regularmente los patrones recurrentes de fallos de

cumplimiento y evaluar las lecciones aprendidas.
5. Mejorar las políticas, estándares, procedimientos,
metodologías y sus procesos y actividades asociadas con
base en la revisión y las lecciones aprendidas.
Práctica de Gobierno (gestión): 04 Obtener aseguramiento de cumplimiento externo.
Indicadores Asociados: a. Número de informes de cumplimiento obtenidos

b. Porcentaje de cumplimiento de los proveedores de servicio basado en revisiones independientes
c. Tiempo transcurrido entre la identificación de la brecha de cumplimiento y la acción correctora
d. Número de informes de acciones correctivas que tratan brechas de cumplimiento cerradas oportunamente
Fecha
Implementación
1 Obtener confirmación periódica del cumplimiento con las
políticas internas por parte de los dueños de los procesos
de negocio y de TI y los jefes de unidades.
2 Realizar periódicamente revisiones internas y externas

( independientes, cuando sea posible, ) para evaluar los
niveles de cumplimiento.
3. Si se requiere, obtener declaraciones de los proveedores de

servicio externos de I&T sobre sus niveles de cumplimiento
con las leyes y regulaciones aplicables
4. Si se requiere, obtener declaraciones de los socios de

negocio sobre sus niveles de cumplimiento con leyes y
regulaciones aplicables, en la medida en que estén
relacionados con las transacciones electrónicas entre
empresas.
5. Integrar los informes sobre los requisitos legales,

regulatorios y contractuales a nivel global de la empresa,
involucrando a todas las unidades de negocio.
6. Supervisar y comunicar los problemas de incumplimiento y,

cuando sea necesario, investigar la causa raíz.
Regresar a Inicio

Ficha Implementación de Objetivo de Gobierno
NOMBRE INSTITUCIÓN

Objetivo de Gestión: MEA04 — Gestionar el aseguramiento Porcentaje Fecha Conclusión
Implementable
Riesgos Asociados:
Práctica de Gobierno (gestión): 01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados
Indicadores Asociados: a. Porcentaje de procesos que reciben una revisión independiente

b. Porcentaje de cualificaciones y competencias satisfechas por los proveedores de servicio
Fecha
1 Establecer la adherencia a los códigos éticos y de

estándares vigentes (p. ej. código de ética profesional de
ISACA) y otros estándares de aseguramiento de la industria
y específicos de la localización geográfica [p. ej. los IT Audit
and Assurance Standards of ISACA y el
International Framework for Assurance Engagements
(IAASB Assurance Framework) del International Auditing
and Assurance Standards Board (IAASB’s)].
2 Establecer la independencia de los proveedores del

aseguramiento.
3. Establecer la competencia y la cualificación de los
proveedores del aseguramiento.
Práctica de Gobierno (gestión): 02 Desarrollar una planificación de iniciativas de aseguramiento basada en riesgos.
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que siguen los estándares del programa y plan de aseguramiento
b. Porcentaje de iniciativas del plan de aseguramiento basadas en el riesgo.
Fecha
1 Entender la estrategia y prioridades de la empresa.

2. Entender el contexto interno de la empresa. Esta
comprensión ayudará al profesional de aseguramiento a
evaluar mejor las metas empresariales y la importancia
relativa de las metas de alineamiento y metas
empresariales, así como las amenazas más importantes
para estas metas. A su vez, esto contribuirá a definir un
mejor y más relevante alcance para el compromiso con el
aseguramiento.
3. Entender el contexto externo de la empresa. Esta

comprensión ayudará al profesional del aseguramiento a
comprender mejor las metas empresariales y la
importancia relativa de las metas de alineamiento y metas
empresariales, así como las amenazas más importantes
para estas metas. A su vez, esto contribuirá a definir un
mejor y más relevante alcance para el compromiso con el
aseguramiento.
4. Desarrollar un plan anual global para las iniciativas de

aseguramiento que incluya los objetivos consolidados de
aseguramiento.
Proceso relacionado del Marco Normativo: MEA04 — Gestionar el aseguramiento

Riesgos Asociados:
Práctica de Gobierno (gestión): 03 Determinar los objetivos de la iniciativa de aseguramiento.

Indicadores Asociados: a. Porcentaje de objetivos alcanzados durante la iniciativa de aseguramiento.
b. Porcentaje de satisfacción de las partes interesadas con los objetivos de la iniciativa de aseguramiento
Fecha
1 Definir el objetivo de aseguramiento de la iniciativa de

aseguramiento mediante la identificación de las partes
interesadas en esta iniciativa de aseguramiento y sus
intereses.
2 Acordar los objetivos de alto nivel y los límites organizativos

del compromiso de aseguramiento.
3. Considerar el uso de la cascada de metas de COBIT y sus
distintos niveles para expresar el objetivo del
aseguramiento.
4. Asegurar que los objetivos del compromiso del

aseguramiento consideren los tres componentes de valor
del objetivo: obtener beneficios que respalden los objetivos
estratégicos, optimizar el riesgo de que no se alcancen los
objetivos estratégicos y optimizar los niveles de recursos
requeridos para lograr los objetivos estratégicos.
Práctica de Gobierno (gestión): 04 Definir el alcance de la iniciativa de aseguramiento
Indicadores Asociados: a. Número de planes de compromiso, basados en el alcance, que consideran la información a recopilar y las entrevistas a las partes interesadas
b. Porcentaje de satisfacción de las partes interesadas con el alcance de la iniciativa del aseguramiento, conforme a los objetivos de aseguramiento
Fecha
Implementación
1 Definir todos los componentes de gobierno en el alcance de
la revisión, es decir, los principios, políticas y marcos de
referencia; procesos; estructuras organizativas; cultura,
ética y comportamiento; información; servicios,
infraestructura y aplicaciones; personas, habilidades y
competencias
2 Basándose en el alcance establecido, definir un plan de

compromiso, que incluya la información que debe
recopilarse y las partes interesadas que deben
entrevistarse
3. Confirmar y perfeccionar el alcance con base en el

conocimiento de la arquitectura empresarial.
4. Perfeccionar el alcance del compromiso de aseguramiento,
conforme a los recursos disponibles
Práctica de Gobierno (gestión): 05 Definir el programa de trabajo para la iniciativa de aseguramiento.
Indicadores Asociados: a. Porcentaje de controles de gestión identificados como débiles, sin prácticas definidas para reducir el riesgo residual
b. Número de controles revisados
c. Porcentaje de satisfacción de las partes interesadas con el programa de trabajo de la iniciativa de aseguramiento
Fecha
1 Definir pasos detallados para la recopilación y evaluación

de la información de los controles de gestión considerados
en el alcance. Centrarse en evaluar la definición y
aplicación de buenas prácticas relacionadas con el diseño
de controles y el logro de los objetivos de
control, relacionados con la eficacia del control.
2 Entender el contexto de los objetivos de gestión y los

controles de gestión que los respaldan y que se ponen en
práctica. Entender cómo estos controles de gestión
contribuyen a lograr las metas de alineamiento y las metas
empresariales.
3. Entender a todas las partes interesadas y sus intereses.

4. Acordar las buenas prácticas esperadas para los controles
de gestión.
5. Si un control de gestión fuera débil, definir las prácticas
para identificar el riesgo residual (como preparación para el
reporte).
6. Entender la fase del ciclo de vida de los controles de

gestión y acordar los valores esperados.
Práctica de Gobierno (gestión): 06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño.
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que consideran la rentabilidad del diseño
b. Porcentaje de satisfacción de las partes interesadas con el diseño de la iniciativa de aseguramiento

Implementación
1 Perfeccionar el entendimiento del sujeto de aseguramiento
de TI.
2 Perfeccionar el alcance del sujeto de aseguramiento de TI.
3. Observar/inspeccionar y revisar la estrategia de control de

gestión. Validar el diseño con el dueño del control en
cuanto a su completitud, relevancia, oportunidad y
facilidad de medición.
4. Preguntar al dueño del control si se han asignado las

responsabilidades globales del componente de gobierno y
de la rendición de cuentas. Confirmar la respuesta.
Comprobar si la rendición de cuentas y las
responsabilidades se han entendido y aceptado.
Comprobar que están disponibles las habilidades
adecuadas y los recursos necesarios.
5. Reconsiderar el equilibrio entre prevención y detección y

los tipos de corrección de las actividades de control de
gestión.
6. Considerar el esfuerzo dedicado a mantener los controles

de gestión y su rentabilidad asociada.
Práctica de Gobierno (gestión): 07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa.
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que prueban el resultado de los objetivos clave de gestión dentro del alcance.
b. Porcentaje de satisfacción de las partes interesadas con la ejecución de la iniciativa de aseguramiento
Fecha
Implementación
1 Evaluar si se han alcanzado los resultados esperados para
cada uno de los controles de gestión en el alcance. Es decir,
evaluar la efectividad del control de gestión (eficacia del
control).
2 Asegurar que el profesional del aseguramiento prueba el
resultado o la efectividad del control de gestión mediante
la búsqueda de evidencias directas e indirectas del impacto
en las metas de los controles de gestión. Esto implica la
justificación directa e indirecta de la contribución medible
de las metas de gestión a las metas de alineamiento y de
este modo se registran las evidencias directas e indirectas
de que se han
alcanzado realmente los resultados esperados.
3. Determinar si el profesional del aseguramiento obtiene

evidencias directas o indirectas de los elementos/periodos
seleccionados al aplicar
una selección de técnicas de pruebas para garantizar que el
control de gestión bajo revisión funciona de forma efectiva.
Asegurar que el
profesional del aseguramiento realice también una revisión
limitada de la idoneidad de los resultados del control de
gestión y determine el nivel de pruebas sustantivas y el
trabajo adicional necesarios para proporcionar
aseguramiento de que el desempeño del control de gestión
es adecuado.
4. Investigar si un control de gestión puede ser más eficiente y

si su diseño puede ser más efectivo optimizando los pasos y
buscando sinergias con otros controles de gestión.
Práctica de Gobierno (gestión): 08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
Indicadores Asociados: a. Aceptación de las partes interesadas del informe de aseguramiento

b. Aceptación de las partes interesadas de las recomendaciones de mejora
relativas al rendimiento operacional identificado, el cumplimiento externo y las
Fecha
1 Documentar el impacto de las debilidades del control.

2 Comunicarse con la dirección durante la ejecución de la
iniciativa para que haya un claro entendimiento del trabajo
realizado y un acuerdo y aceptación de los hallazgos
preliminares y las recomendaciones.
3. Proporcionar a la dirección un informe (alineado con los

términos de referencia, alcance y estándares de informes
acordados) que sustente los resultados de la iniciativa y
permita centrarse claramente en los problemas clave y las
acciones importantes.
4. Supervisar las actividades de aseguramiento y garantizar
que el trabajo está finalizado, cumple con los objetivos y
tiene una calidad aceptable. Revisar el enfoque o los pasos
detallados si se detecta una calidad deficiente.
Práctica de Gobierno (gestión): 09 Hacer seguimiento a las recomendaciones y a las acciones.
Indicadores Asociados: a. Número de debilidades recurrentes

b. Número de debilidades identificadas resueltas
Fecha
Implementación
1 Acordar e implementar internamente, dentro de la
organización, las acciones necesarias para resolver las
debilidades y brechas identificadas.
2 Hacer un seguimiento, dentro de la organización, para

determinar si se llevaron a cabo acciones correctivas y las
debilidades de control interno se resolvieron.

Normas MICITT Matriz Guía Implementación Prácticas de Gobierno y Gestión 2021

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Normas MICITT Matriz Guía Implementación Prácticas de Gobierno y Gestión 2021

Cargado por

Copyright:

Formatos disponibles

MATRIZ GUÍA

Implementación Buenas Prácticas

Presionando el Código del Objetivo, puede ubicarse en la Ficha respectiva

Dominio - Evaluar, Dirigir y Monitorear

Práctica de Gobierno (Gestión)

Actividades de la Práctica de Gestión

Estado de implementación: Completada, en proceso, no iniciada

Matriz Guía para la Implementación de Buenas prácticas Basadas en Cobit 2019

Dominio: Evaluar, Dirigir y Monitorear Prioridad de Implementación: Etapa 1

1 Analizar e identificar los factores ambientales internos y

2 Determinar la importancia de I&T y su papel con respecto

3 Considerar las regulaciones, leyes, y obligaciones

4 Determinar las implicaciones de todo el entorno de control

5 Alinear el uso ético y el procesamiento de la información y

6 Articular los principios que guiarán el diseño del gobierno y

7 Determinar el modelo óptimo de toma de decisiones para

8 Determinar los niveles adecuados de delegación de

Práctica de Gobierno (gestión): 02 - Dirigir el sistema de Gobierno

Fecha Estado Porcentaje Fecha de

1 Comunicar el gobierno de los principios de I&T y acordar

Matriz Guía para la Implementación de Buenas prácticas Basadas en Cobit 2019

Dominio: Evaluar, Dirigir y Monitorear Prioridad de Implementación: Etapa 3

Práctica de Gobierno (gestión): 01 - Establecer el objetivo de la combinación en la inversión

Indicadores Asociados: a. Porcentaje de inversiones de I&T que se atribuyen a la estrategia empresarial

Fecha Estado Porcentaje Fecha de

Indicadores Asociados: a. Desviación entre la combinación de inversión objetivo y real

1 Conocer los requisitos de las partes interesadas; los

2 Definir los requisitos para los cambios de fase (stage-gate) y

3 Dirigir a la gestión para que considere los potenciales usos

4 Dirigir cualquier cambio requerido en la asignación de

5 Dirigir cualquier cambio requerido al portafolio de

6 Recomendar la consideración de innovaciones, cambios

7 Definir y comunicar las metas y medidas de resultados de la

Práctica de Gobierno (gestión): 04 - Monitorear la optimización del valor

Fecha Estado Porcentaje Fecha de

2 Recopilar datos relevantes, oportunos, completos, creíbles

3 Obtener informes regulares y relevantes de rendimiento

4 Una vez revisados los informes, asegurar que se ha iniciado

5 Una vez revisados los informes, llevar a cabo la acción de

Matriz Guía para la Implementación de Buenas prácticas Basadas en Cobit 2019

Dominio: Evaluar, Dirigir y Monitorear Prioridad de Implementación: Etapa 1

Práctica de Gobierno (gestión): 1 - Evaluar la gestión de riesgos

Indicadores Asociados: a. Nivel de impacto institucional inesperado

3 Determinar los niveles de tolerancia al riesgo frente al

4 Determinar el grado de alineamiento de la estrategia de

5 Evaluar los factores de riesgo de I&T de forma proactiva

6 Evaluar las actividades de gestión de riesgos para asegurar

7 Atraer y conservar las habilidades y el personal necesarios

Indicadores Asociados: a. Nivel de alineamiento entre el riesgo de I&T y el riesgo institucional

2 Dirigir el desarrollo de planes de comunicación de riesgos

3 Dirigir la implementación de los mecanismos adecuados

4 Ordenar que el riesgo, oportunidades, problemas o

5 Identificar las metas y métricas claves de los procesos de

Práctica de Gobierno (gestión): 03 - Monitorear la gestión de riesgos

Indicadores Asociados: a. Número de áreas potenciales de riesgo de I&T identificadas y gestionadas

4 Facilitar la revisión por parte de las partes interesadas clave

Matriz Guía para la Implementación de Buenas prácticas Basadas en Cobit 2019

Dominio: Evaluar, Dirigir y Monitorear Prioridad de Implementación: Etapa 2

Práctica de Gobierno (gestión): 01 - Evaluar la gestión de recursos

1 Partiendo de las estrategias actuales y futuras, examinar las

2 Definir los principios fundamentales de la asignación y

3 Revisar y aprobar las estrategias del plan de recursos y de

4 Entender los requisitos para el alineamiento de la gestión